Considérations de déploiement des locataires …...Description du service 8 Architecture du...

Considérations de déploiement des locataires Horizon Cloud on IBM Cloud 20.2

VMware Horizon Cloud Service on IBM Cloud 20.2VMware Horizon Cloud Service

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :

https://docs.vmware.com/fr/

Si vous avez des commentaires à propos de cette documentation, envoyez-les à l'adresse suivante :

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware France SAS.Tour Franklin100-101 Terrasse Boieldieu92042 Paris La Défense 8 CedexFrancewww.vmware.com/fr

Copyright © 2020 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques commerciales.


VMware, Inc. 2

https://docs.vmware.com/fr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

1 Introduction 5

2 À propos de VMware Horizon Cloud Service on IBM Cloud 6Qu'est-ce que la famille VMware Horizon Cloud Service ? 6

Description du service 8

Architecture du système 8

Présentation des zones 9

Administration de l'environnement Horizon Cloud Service 10

Gestion des images de poste de travail et de serveur Hôte de session Bureau à distance 10

Connexion à des applications et des postes de travail Horizon Cloud Service 11

Connexion aux ressources d'entreprise 11

3 Choix des options de réseau stratégiques 13Avant de commencer : décisions et responsabilités 13

Vos décisions 14

Vos responsabilités 14

Conditions préalables pour le pare-feu et les ports 16

Connexions locales 17

Connexions distantes 18

Ports de pare-feu de système d'exploitation de bout en bout 19

Considérations relatives à la bande passante 19

VPN et Direct Connect 20

Présentation du VPN 22

Envoi du trafic via un VPN IPSec de site à site 22

Paramètres de VPN IPSec 23

Options de connectivité VPN 24

Présentation de Direct Connect 31

Zones de propriété pour les options Direct Connect 31

Envoi du trafic via une connexion dédiée ou un VPN Direct Connect MPLS 32

Envoi du trafic via un échange de réseaux 33

Connexion d'un rack existant dans le même centre de données 33

Options de connectivité Direct Connect 33

Configuration de Direct Connect 40

Routage réseau 40

DNS fractionné 41

Exemple d'architecture de réseau de locataires 41

Considérations supplémentaires 44

Choix entre un annuaire Active Directory intégré et isolé 44

VMware, Inc. 3

Considérations relatives aux sous-réseaux 44

Choix des URL du portail utilisateur d'Horizon Cloud Service et du portail de la console d'administration 46

4 Respect des exigences relatives à Active Directory 48Sélection d'un annuaire Active Directory existant ou isolé 48

Création de comptes de service pour Active Directory 49

Création de groupes pour Active Directory 49

Création d'une UO Horizon Cloud Service unique pour Active Directory 50

Configuration des étendues DHCP et du code d'option 74 ou configuration manuelle des agents DaaS50

5 Création d'images optimisées 52Optimisation des images de poste de travail 52

Choix du nombre d'images dont vous avez besoin 53

Utilisation d'images de clone traditionnel ou d'Instant Clone 53

Création d'images pour les serveurs Hôte de session Bureau à distance 54

Présentation des postes de travail dédiés, flottants et de session 54

Choix des options graphiques 3D 55

Échelonnement des mises à jour automatiques de l'antivirus 55

6 Gestion des applications distantes 57

7 Stratégies de gestion des images 58Gestion des profils 58

Choix des éléments à rediriger 59

Choix de la méthode de redirection 60

Choix de l'emplacement de redirection 60

Gestion des correctifs 61

Désactivation des fonctionnalités de mise à jour automatique 61

Test des correctifs et des mises à jour sur des pools de sous-ensemble 61

Stratégies de sauvegarde 62


VMware, Inc. 4

Introduction 1VMware Horizon® Cloud Service™ est une famille de services Cloud de VMware qui permet de fournir des applications et des postes de travail virtuels à des utilisateurs finaux sur n'importe quel périphérique pris en charge. Horizon Cloud Service est disponible de deux manières : en tant qu'infrastructure IBM Cloud hébergée par VMware ou hébergée dans votre propre infrastructure sur site. Dans les deux scénarios, la gestion de l'infrastructure est effectuée par l'application Horizon Cloud Service.

À propos de ce documentCe document traite essentiellement de VMware Horizon Cloud Service on IBM Cloud. Il décrit les problèmes les plus courants qui peuvent se produire lors du déploiement et inclut des conseils sur la façon d'éviter ces problèmes dans votre propre implémentation. Bien que chaque environnement soit unique, les considérations générales décrites ici peuvent vous aider à déployer efficacement Horizon Cloud Service on IBM Cloud.

Public cibleCe document est destiné aux décideurs informatiques, aux architectes, aux administrateurs et à d'autres personnes qui souhaitent se familiariser avec le déploiement d'Horizon Cloud Service on IBM Cloud. Vous devez connaître les technologies de centre de données Windows, notamment Active Directory, SQL et Microsoft Management Console. Vous devez également connaître le Cloud Computing, les VPN de site à site (S2S) et les réseaux MPLS (Multi-Protocol Label Switching).

VMware, Inc. 5

À propos de VMware Horizon Cloud Service on IBM Cloud 2Cette section fournit une vue d'ensemble d'Horizon Cloud Service on IBM Cloud.

Ce chapitre contient les rubriques suivantes :

n Qu'est-ce que la famille VMware Horizon Cloud Service ?

n Description du service

n Architecture du système

Qu'est-ce que la famille VMware Horizon Cloud Service ?Horizon Cloud Service fournit des postes de travail et des applications virtuels à l'aide d'une plate-forme de Cloud dédiée qui est évolutive pour plusieurs options de déploiement, en proposant notamment une infrastructure sur site ou une infrastructure entièrement gérée à partir de VMware. Le service prend en charge une architecture à l'échelle du Cloud afin de fournir des applications et des postes de travail Windows virtualisés à plusieurs périphériques, ce qui simplifie la configuration et l'évolutivité.

VMware, Inc. 6

Figure 2-1. Famille VMware Horizon Cloud Service

Horizon Cloud Service on IBM CloudHorizon Cloud Service on IBM Cloud simplifie la livraison d'applications et de postes de travail Windows en tant que service de Cloud tout en maintenant les exigences d'entreprise en matière de sécurité et de contrôle. Les utilisateurs finaux bénéficient d'un espace de travail complet auquel ils peuvent accéder à partir de nombreux types de périphériques depuis presque n'importe quel emplacement. Horizon Cloud Service on IBM Cloud offre également une plate-forme de livraison de postes de travail et d'applications flexible à la demande, qui peut grandir ou diminuer selon les besoins et les demandes de votre entreprise.


VMware, Inc. 7

Horizon Cloud Service with On-Premises InfrastructureVMware Horizon Cloud Service with On-Premises Infrastructure, non traité dans le présent document, combine les avantages économiques du Cloud avec la simplicité d'une infrastructure hyperconvergée. Avec ce service, vous disposez d'une solution centrale pour la livraison et la gestion d'applications et de postes de travail virtuels sur site depuis le Cloud.

Console d'administration d'Horizon Cloud ServiceLa console d'administration d'Horizon Cloud Service fournit une gestion complète du cycle de vie des postes de travail et de l'hôte de session Bureau à distance (RDSH) via une console Web unique simple d'utilisation. Les organisations peuvent provisionner et gérer en toute sécurité des modèles et des droits de poste de travail, ainsi que des applications natives et distantes, via la console d'administration centralisée d'Horizon Cloud Service. La console d'administration fournit également des rapports d'utilisation et d'activité relatifs à diverses activités de gestion de la capacité, gestion administrative et gestion des utilisateurs.

Modèles de serviceLes modules Horizon Cloud Service sont disponibles dans des tailles standard et peuvent être configurés pour répondre à vos besoins en matière de performance. Vous pouvez mélanger et faire correspondre la capacité de réservation de poste de travail, si nécessaire, pour l'adapter à votre entreprise.

Description du serviceLe document Description du service : VMware Horizon Cloud Service on IBM Cloud décrit en détail les composants, les définitions et les capacités du service. Il contient des informations sur la gestion des licences, la gestion et les portails utilisateur, les offres de service et les fonctionnalités incluses dans la plate-forme Horizon Cloud Service on IBM Cloud. Consultez ce document pour obtenir des informations détaillées sur Horizon Cloud Service.

Architecture du systèmeCette rubrique présente une vue d'ensemble du système Horizon Cloud Service on IBM Cloud.

Horizon Cloud Service on IBM Cloud comprend les composants principaux suivants :

Composant Description

Image, également appelée modèle d'image Image de poste de travail ou de serveur Hôte de session Bureau à distance (RDSH) pouvant être utilisée dans une infrastructure Horizon Cloud Service pour créer des attributions de poste de travail ou d'application. Cette image est utilisée comme image de base à partir de laquelle les machines virtuelles (VM) sont clonées.

VMware Horizon Client™ Client basé sur logiciel installé sur un poste de travail, un client léger, un périphérique mobile ou une tablette qui facilite la connectivité à des applications et des postes de travail hébergés par Horizon Cloud Service.


VMware, Inc. 8

Composant Description

Dispositif locataire Horizon Cloud Service Dispositif Linux renforcé qui fournit des services d'intermédiation, de provisionnement et de droits de poste de travail et d'application. Ce dispositif héberge les portails d'utilisateur final et d'administration.

Poste de travail virtuel hébergé par Horizon Cloud Service

Poste de travail virtualisé et optimisé qui est hébergé dans Horizon Cloud Service. Un poste de travail virtuel prend en charge une seule connexion, fournissant ainsi un poste de travail entièrement fonctionnel à l'utilisateur final. Les agents Horizon Cloud Service sont installés sur le poste de travail virtuel pour prendre en charge une connexion à partir d'Horizon Client.

Serveur RDSH hébergé par Horizon Cloud Service

Modèle basé sur un serveur qui fournit des applications et des postes de travail complets partagés dans Horizon Cloud Service en utilisant les services Bureau à distance Microsoft et la technologie VMware Horizon. Par rapport à une seule connexion pour chaque poste de travail virtuel, les serveurs Hôte de session Bureau à distance peuvent prendre en charge plusieurs sessions de postes de travail et d'applications provenant de différents utilisateurs. Les agents Horizon Cloud Service sont installés sur les serveurs Hôte de session Bureau à distance afin de prendre en charge les connexions à partir d'Horizon Client.

Sous-réseaux de postes de travail et de services

Sous-réseaux IP uniques que vous attribuez pour permettre la connectivité du poste de travail, de l'application et de l'administration. La zone de postes de travail utilise le sous-réseau de postes de travail pour les postes de travail virtuels et les serveurs Hôte de session Bureau à distance. La zone de services utilise le sous-réseau de services pour les dispositifs locataires et d'autres services d'utilitaires.

Portail utilisateur d'Horizon Cloud Service Portail Web offrant aux utilisateurs un accès sans client à des applications et des postes de travail Horizon Cloud Service à l'aide de HTML5.

Console d'administration d'Horizon Cloud Service

Portail Web utilisé par les administrateurs informatiques pour provisionner et gérer des postes de travail et des applications Horizon Cloud Service, des droits de ressources et des images.

Passerelle Edge Gateway Passerelle qui fournit des services de passerelle et de sécurité Edge réseau pour isoler les zones de sécurité et les réseaux virtualisés avec NAT, DHCP, VPN et un équilibrage de charge.

VMware Unified Access Gateway Dispositif Linux renforcé qui permet un accès à distance sécurisé à un environnement Horizon Cloud Service et fait partie de la zone de sécurité (pour l'accès externe à Horizon Cloud Service) et de la zone de services (pour l'accès interne à Horizon Cloud Service).

Pour connaître des termes et concepts supplémentaires, reportez-vous au glossaire VMware Technical Publications en ligne.

Présentation des zonesHorizon Cloud Service on IBM Cloud établit des zones qui isolent les différentes ressources en fonction de leur fonction. Horizon Cloud Service dispose de trois zones. Chaque zone est propre à chaque déploiement d'Horizon Cloud Service et n'est pas partagée.


VMware, Inc. 9

Zone Description

Zone de sécurité Zone DMZ qui héberge les dispositifs Unified Access Gateway externes. Cette zone facilite l'accès à distance sécurisé à l'environnement de locataires Horizon Cloud Service.

Zone de services Zone qui héberge Horizon Cloud Service, notamment les dispositifs locataires, les serveurs d'utilitaires et les dispositifs Unified Access Gateway internes.

Zone de postes de travail Zone qui héberge les postes de travail et les serveurs Hôte de session Bureau à distance.

Administration de l'environnement Horizon Cloud ServiceVous pouvez effectuer un grand nombre de tâches administratives dans Horizon Cloud Service.

n Vous pouvez provisionner des postes de travail, des postes de travail Hôte de session Bureau à distance (RDSH) et des applications via la console d'administration d'Horizon Cloud Service.

n Vous pouvez configurer des paramètres d'authentification à deux facteurs et Active Directory, gérer les droits de poste de travail et d'application, déployer et mettre à jour des images de clone traditionnel et d'Instant Clone, surveiller et observer la santé du système et des postes de travail, et obtenir des rapports sur les tâches administratives et sur l'utilisation via l'interface Web.

Pour plus d'informations, reportez-vous au Guide d'administration d'Horizon Cloud Service on IBM Cloud.

Gestion des images de poste de travail et de serveur Hôte de session Bureau à distancePour garantir la meilleure expérience utilisateur possible, vous devez disposer d'une image de poste de travail et de serveur Hôte de session Bureau à distance (RDSH) correctement optimisée et configurée.

Avec Horizon Cloud Service, vous pouvez utiliser votre propre image ou une image fournie par l'équipe VMware Horizon Cloud Service.

n L'image est téléchargée vers la plate-forme du locataire.

n Vous pouvez effectuer l'installation d'applications, régler et optimiser l'image, effectuer des mises à jour, etc.

n Lorsque votre image est prête, elle est convertie en modèle d'image.

n Vous pouvez utiliser ce modèle d'image pour les attributions de poste de travail et d'application dans Horizon Cloud Service.

Lorsque l'image doit être mise à jour, vous pouvez soit mettre à jour un modèle d'image existant, soit télécharger une nouvelle image. Pour mettre à jour des postes de travail et des serveurs Hôte de session Bureau à distance déployés, vous associez une nouvelle image à une attribution de poste de travail ou d'application distante. Pour plus d'informations, reportez-vous à la section Chapitre 7 Stratégies de gestion des images.


VMware, Inc. 10

Connexion à des applications et des postes de travail Horizon Cloud ServiceLes utilisateurs d'Horizon Cloud Service peuvent se connecter à des postes de travail et à des applications à partir d'un appareil informatique mobile, d'un client léger, d'une tablette ou d'un ordinateur Mac ou PC traditionnel, ainsi qu'à partir d'un navigateur Web.

Les utilisateurs lancent Horizon Client et se connectent en toute sécurité au poste de travail ou à l'application via Unified Access Gateway. La connexion de l'utilisateur à Unified Access Gateway peut se faire au moyen de votre connexion d'entreprise à Horizon Cloud Service ou d'une connexion Internet hébergée par Horizon Cloud Service. Une fois l'authentification à un ou deux facteurs terminée, une liste d'applications et de postes de travail autorisés s'affiche. Cliquez sur une ressource et connectez-vous à l'aide du protocole d'affichage Blast Extreme ou PCoIP.

Pour les périphériques ne disposant pas d'instances d'Horizon Client, ou si vous avez besoin d'un accès rapide à vos applications et postes de travail, vous pouvez vous connecter au portail utilisateur d'Horizon Cloud Service selon la même méthode de connexion interne ou Internet à l'aide d'un navigateur Web. Après vous être connecté de manière sécurisée, vous avez la possibilité de lancer des postes de travail et des applications à l'aide du client HTML5 de VMware.

Connexion aux ressources d'entrepriseHorizon Cloud Service on IBM Cloud offre plusieurs méthodes de connexion à un centre de données ou un réseau existant avec des applications et des données d'entreprise.

Pendant le processus de configuration, vous pouvez choisir parmi différents types de connexion et différentes vitesses, par exemple un VPN, une connexion dédiée, un MPLS ou un échange de réseaux. Vous pouvez également isoler complètement votre environnement Horizon Cloud Service du réseau d'entreprise. Lorsque des utilisateurs demandent des ressources d'entreprise à partir du poste de travail virtuel, du poste de travail RDSH ou de l'application, le trafic réseau traverse la connexion préconfigurée entre le centre de données Horizon Cloud Service et votre centre de données d'entreprise.

Certaines ressources, telles que le profil d'utilisateur ou le persona, sont mieux servies lorsqu'elles sont hébergées dans le locataire Horizon Cloud Service. Un serveur d'utilitaires, hébergé dans la zone de services, est un serveur Windows qui fournit des ressources pour les services prenant en charge l'infrastructure Horizon Cloud Service. Outre les données de profil d'utilisateur et de persona, il est également possible de configurer les serveurs d'utilitaires pour fournir des services Active Directory, VMware Dynamic Environment Manager™, DHCP, DNS et des services de fichiers. Certains services peuvent nécessiter l'achat d'un stockage supplémentaire.

Le diagramme ci-dessous montre un déploiement standard d'Horizon Cloud Service on IBM Cloud avec les connexions réseau entre les utilisateurs finaux, l'environnement et Horizon Cloud Service. Vous pouvez choisir d'autoriser les utilisateurs finaux à accéder à leurs postes de travail virtuels hébergés sur le Cloud via Internet ou uniquement lorsqu'ils se trouvent sur le réseau d'entreprise.


VMware, Inc. 11

Figure 2-2. Modèle de déploiement standard d'Horizon Cloud Service on IBM Cloud


VMware, Inc. 12

Choix des options de réseau stratégiques 3Cette section porte sur les options de connectivité réseau disponibles pour Horizon Cloud Service on IBM Cloud et fournit une présentation de l'architecture et des exigences de la mise en réseau. Cette section contient les informations nécessaires pour obtenir l'approbation de votre mise en réseau, de sécurité et d'autres parties prenantes de l'infrastructure lors d'une mise en œuvre d'Horizon Cloud Service on IBM Cloud.

n Les exemples utilisent la société fictive MYCOMPANY.

n Toutes les sections ne sont pas nécessairement applicables à votre déploiement. Les sections facultatives sont clairement marquées. Si vous avez des questions concernant les spécificités de votre commande, reportez-vous au formulaire Web de configuration Horizon Cloud, ou contactez VMware ou un revendeur informatique pour VMware.


n Avant de commencer : décisions et responsabilités

n Conditions préalables pour le pare-feu et les ports

n Considérations relatives à la bande passante

n VPN et Direct Connect

n Présentation du VPN

n Présentation de Direct Connect

n DNS fractionné

n Exemple d'architecture de réseau de locataires

n Considérations supplémentaires

Avant de commencer : décisions et responsabilitésUn déploiement réussi et opportun dépend de la bonne communication entre les équipes Horizon Cloud Service qui doivent travailler ensemble et de manière soudée avant, pendant et après la réunion de démarrage.

Vous devez tenir compte de plusieurs éléments lors du choix des meilleures options de configuration pour votre déploiement. Travaillez en collaboration avec plusieurs parties prenantes et experts du domaine pour trouver la meilleure option.

VMware, Inc. 13

Vos décisionsLors de la planification d'un déploiement d'Horizon Cloud Service, préparez-vous à répondre aux questions suivantes.

n Ai-je besoin d'intégrer les postes de travail hébergés sur le Cloud et les applications hébergées à mon environnement pour utiliser mes services d'annuaire, de fichiers, d'applications et d'impression existants ?

n Si oui, voulez-vous diriger le trafic de poste de travail lié à Internet de mes utilisateurs ?

n Via VMware Data Center ?

n Via le réseau de mon organisation ?

n Si oui, quel volume de trafic doit traverser la connexion entre mes postes de travail virtuels et les applications hébergées et le réseau de mon organisation pour accéder à ces ressources ?

n Un VPN IPSec est-il suffisant ?

n Ou ai-je besoin d'une connexion dédiée telle que MPLS ?

n Ai-je besoin d'un basculement manuel ou automatique pour ma connexion ?

n Si non, de quelle infrastructure ai-je besoin pour prendre en charge mon cas d'utilisation et où puis-je la placer ?

n Ai-je besoin des services d'annuaire, de fichiers et d'application ?

n Puis-je placer tout ce qui est requis dans le locataire Horizon Cloud Service ?

n Ai-je plutôt besoin d'un locataire IaaS ?

n Mes employés doivent-ils avoir accès à leurs postes de travail de l'extérieur du réseau de mon organisation ?

n Si oui, voulez-vous utiliser une URL personnalisée ou une URL fournie par VMware ?

n Voulez-vous utiliser desktop.mycompany.com ?

n Est-ce que je souhaite plutôt utiliser mycompany.horizon.vmware.com ?

Note Pour toute question sur les sous-réseaux de postes de travail et les adresses IP, reportez-vous à la session Considérations relatives aux sous-réseaux.

Vos responsabilitésIl est important de bien comprendre vos responsabilités et celles qui sont partagées entre vos équipes et l'équipe VMware. Le déploiement d'Horizon Cloud Service on IBM Cloud peut être divisé en plusieurs domaines de responsabilité fondamentaux, comme indiqué dans le tableau ci-dessous.


VMware, Inc. 14

Phase Domaines de responsabilité

Lancement du projet

Vos PME en collaboration avec VMware :

n Se rencontrent (votre prospect et le responsable VMware)

n Incluent dans votre équipe le responsable des postes de travail, les bureaux d'ingénierie spécialisés dans les postes de travail, ainsi que les PME en charge de la sécurité et du réseau

n Passent en revue et discutent des exigences de provisionnement

n Collectent des informations via le formulaire Web de configuration d'Horizon Cloud

n Établissent les critères de succès par le biais du modèle fourni par VMware

n Planifient les étapes suivantes

Commande de capacité

VMware :

n Commande la capacité du locataire à partir de l'infrastructure du centre de données

n Configure la capacité d'Horizon Cloud Service on IBM Cloud

Configuration du réseau

VMware :

n Établit les configurations VPN et Direct Connect ainsi que les accès

n Configure DHCP, DNS, VPN et Direct Connect

Vos PME :

n Configurent DHCP, Active Directory et DNS

n Fournissent les certificats SSL

n Fournissent les informations sur VPN et Direct Connect

Configuration du locataire

VMware :

n Configure Horizon Cloud Service on IBM Cloud

n Configure le stockage

n Configure Unified Access Gateway

n Installe les dispositifs locataires

n Définit la capacité de poste de travail standard

Interconnexion réseau

VMware :

n Installe les certificats SSL


n Testent et valident la connectivité

VMware :

n Fournit l'URL de la console d'administration d'Horizon Cloud Service

n Fournit les modèles d'image de démarrage

Vos PME :

n Effectuent l'enregistrement d'Active Directory

n Effectuent un post-test (facultatif) et installent vos applications

Configuration et tests finaux

Vos PME :

n Installent les applications dans les modèles d'image de démarrage fournis par VMware

VMware :

n Importe et déplace les modèles d'image de démarrage vers le locataire


VMware, Inc. 15

Phase Domaines de responsabilité

Vos PME :

n Créent les images

n Créent les attributions

n Attribuent les postes de travail de test et les valident

VMware :

n Effectue le transfert de connaissances

n Établit le support

Fin de l'installation


n Conviennent que la l'installation est terminée

n VMware fournit des services d'intégration avancés (facultatif)

n Vérifient que tous les critères de succès sont remplis

Vos responsabilitésAssurez-vous que tous les ports du trafic réseau interne et externe requis pour les protocoles sont activés (reportez-vous à la section Conditions préalables pour le pare-feu et les ports). Si vous choisissez de déployer dans cette configuration, vous êtes également responsable du côté du tunnel VPN IPSec de votre organisation. Si vous déployez une connexion dédiée, un MPLS ou un échange de réseaux, il vous incombe de travailler avec votre opérateur ou votre fournisseur de télécommunications préféré pour établir la connectivité au centre de données VMware.

Responsabilités de VMwareEn fonction de l'option de connexion réseau que vous sélectionnez, VMware vous fournit les informations dont vous avez besoin pour réussir.

n VPN IPSec : VMware fournit les informations requises pour établir le tunnel IPSec et est responsable du côté VMware de la configuration du tunnel VPN IPSec.

n Connexion dédiée, MPLS, échange de réseaux ou rack existant : VMware configure l'interconnexion entre le fournisseur de services réseau, votre équipement de mise en réseau et votre locataire Horizon Cloud Service dans le centre de données VMware. Vous devez acheter Direct Connect avec l'option Cross Connect ou Direct Connect, et l'option d'échange de réseaux de VMware. Pour tous les types de connectivité, VMware effectue les tests réseau nécessaires pour garantir la réussite de la connexion en collaboration avec vous.

n Locataire îlot : si vous déployez un locataire îlot sans l'intégrer entre VMware et votre infrastructure, VMware fournit un serveur d'utilitaire à utiliser en tant que serveur Active Directory, DNS et DHCP. Pour fonctionner correctement, les postes de travail hébergés sur le Cloud requièrent qu'un contrôleur de domaine Active Directory et des services de prise en charge soient déployés dans le locataire.

Conditions préalables pour le pare-feu et les portsCette section répertorie les ports à utiliser pour une connexion réussie à votre environnement Horizon Cloud Service. Les ports de pare-feu ouverts incluent toutes les connexions distantes en provenance ou


VMware, Inc. 16

à destination du périphérique de point de terminaison, du dispositif locataire et de VMware Unified Access Gateway™.

Vous pouvez avoir besoin de ports supplémentaires en fonction de la conception d'Active Directory. Vérifiez auprès de votre représentant Horizon Cloud Service que ces informations sont adaptées à votre environnement.

Connexions localesPour vous connecter correctement à Horizon Cloud Service, autorisez les ports indiqués dans le tableau ci-dessous sur le VPN IPSec, la connexion dédiée, le MPLS, l'échange de réseaux ou le rack existant.

Source Destination Ports utilisés Description

Horizon Cloud Service Votre infrastructure Active Directory

TCP/389

UDP/389

Authentifie les utilisateurs sur le portail utilisateur de VMware Horizon Cloud Service et la console d'administration de VMware Horizon Cloud Service sur Horizon Client à l'aide de LDAP ou de la GSSAPI de LDAP SASL pour l'authentification sécurisée. Les groupes d'utilisateurs configurés et leurs membres sont mis en cache dans l'infrastructure de locataires à des fins de performance.


TCP/3268 Effectue des consultations et recherches dans le catalogue global Active Directory


TCP/88

UDP/88

Utilisé pour l'authentification Kerberos

Horizon Cloud Service Votre DNS TCP/53

UDP/53

Utilisé pour DNS

Horizon Cloud Service Votre serveur relais DHCP ou DHCP

UDP/67

UDP/68

Utilisé pour le relais DHCP et DHCP

Horizon Cloud Service Gestionnaire d'authentification RSA

UDP/5500 Communique avec RSA Authentication Manager lorsque le locataire utilise SecurID. Le gestionnaire d'authentification peut se trouver dans un centre de données différent des dispositifs locataires. Un gestionnaire d'authentification haute disponibilité utilisé pour le basculement peut également être situé à distance.


VMware, Inc. 17


Horizon Cloud Service Votre serveur RADIUS UDP/1812

UDP/1813

Communique avec l'authentification basée sur RADIUS lorsque le locataire utilise RADIUS

Votre site et votre périphérique de point de terminaison

Horizon Cloud Service TCP/8443

UDP/8443

Utilisé pour Blast Extreme



UDP/443

Utilisé pour Blast Extreme



UDP/4172

Utilisé pour PCoIP



TCP/443

Accède au portail utilisateur de VMware Horizon Cloud Service et à la console d'administration de VMware Horizon Cloud Service. Également utilisé par le dispositif Horizon Client natif pour se connecter initialement à des ressources Horizon Cloud Service. Si l'accès à distance est activé, le portail utilisateur doit être disponible publiquement. Le port 80 redirige vers le port 443.


Horizon Cloud Service TCP/443 Utilisé pour l'accès au portail dans la console d'administration

Connexions distantesPour une connexion réussie à un poste de travail virtuel ou à une application à partir d'un emplacement public (Internet), autorisez les ports répertoriés dans le tableau ci-dessous.



Horizon Cloud Service TCP/8443 UDP/8443 Utilisé pour Blast Extreme


Horizon Cloud Service TCP/443 UDP/443 Utilisé pour Blast Extreme


Horizon Cloud Service TCP/4172 UDP/4172 Utilisé pour PCoIP


VMware, Inc. 18



Horizon Cloud Service TCP/80, TCP/443 Accède au portail utilisateur de VMware Horizon Cloud Service et à la console d'administration de VMware Horizon Cloud Service. Également utilisé par le dispositif Horizon Client natif pour se connecter initialement à des ressources Horizon Cloud Service. Si l'accès à distance est activé, le portail utilisateur doit être disponible publiquement. Le port 80 redirige vers le port 443.


Horizon Cloud Service TCP/443 Utilisé pour l'accès au portail dans la console d'administration

Ports de pare-feu de système d'exploitation de bout en boutSi vous disposez d'une solution de pare-feu basée sur un point de terminaison, assurez-vous que les ports indiqués dans le tableau ci-dessous sont ouverts sur vos postes de travail virtuels ou sur les serveurs Hôte de session Bureau à distance pour assurer la réussite de la connexion.


Horizon Cloud Service Poste de travail ou serveur RDSH

TCP/22443 UDP/22443 Utilisé pour Blast Extreme


TCP/32111 Utilisé pour USB


TCP/9427 Utilisé pour la redirection de lecteur client (CDR) et la redirection multimédia (MMR).


TCP/4172 UDP/4172 Utilisé pour PCoIP

Considérations relatives à la bande passanteLes défis pour offrir une expérience utilisateur correcte incluent la latence, le choix du protocole, la distance, la bande passante et les interruptions de connexion.

Tenez compte des éléments suivants lors du choix de votre solution de mise en réseau.


VMware, Inc. 19

Élément Description

Exigences de votre organisation Les besoins de chaque organisation sont différents. Évaluez vos besoins, tels que le type de tâches informatiques et de charges de travail attendues, l'intensité des graphiques, l'emplacement de l'utilisateur, les périphériques utilisés et l'utilisation moyenne de la bande passante de chaque type d'utilisateur.

Consommation de bande passante De nombreux éléments peuvent affecter la bande passante réseau, comme le choix du protocole, la résolution et la configuration de l'écran et la quantité de contenu multimédia dans la charge. Les lancements simultanés d'applications diffusées peuvent également provoquer des pics d'utilisation. Comme les effets peuvent largement varier, beaucoup d'organisations surveillent la consommation de bande passante dans le cadre d'un projet pilote.

Trafic traversant la connexion Tenez compte du volume de trafic requis pour accéder aux applications, aux serveurs de fichiers et à l'authentification de votre organisation.

Saturation du CPU et de la RAM Examinez le périphérique réseau physique utilisé pour la connexion à Horizon Cloud Service afin de comprendre la saturation actuelle du CPU et de la RAM, ainsi que le débit disponible. Les périphériques plus anciens risquent de ne pas pouvoir maintenir simultanément des vitesses élevées, le chiffrement et plusieurs tunnels.

Bande passante Lors du déploiement d'Horizon Cloud Service et de l'exploitation de la connectivité Internet fournie par Horizon Cloud Service, une quantité spécifique de bande passante réseau est garantie, appelée bande passante maximale, en fonction du nombre et du modèle de postes de travail déployés. Il s'agit de la bande passante allouée dans le cadre de la connexion à Internet à partir d'Horizon Cloud Service. Pour plus d'informations, reportez-vous à la section Description du service : VMware Horizon Cloud Service on IBM Cloud.

Évaluation du réseau et des applications Pour garantir un déploiement réussi d'Horizon Cloud Service, effectuez une évaluation minutieuse du réseau et des applications afin de déterminer la configuration permettant de prendre en charge la bande passante nécessaire tout en répondant aux exigences en matière de latence et de perte de paquets. Incluez tout le trafic d'application actif sur le réseau de bout en bout pour vous assurer qu'une bande passante minimale suffisante est disponible, même avec l'encombrement du réseau.

Contrôles d'optimisation disponibles avec PCoIP et Blast Extreme

Si vous utilisez le protocole d'affichage PCoIP ou Blast Extreme de VMware, vous pouvez régler plusieurs éléments qui affectent l'utilisation de bande passante. Pour plus d'informations, consultez les sections Paramètres généraux PCoIP et Paramètres de stratégie VMware Blast dans la documentation VMware Horizon.

VPN et Direct ConnectAvant de déployer Horizon Cloud Service, déterminez le type de connexion réseau à mettre en œuvre.

La connexion réseau fournit aux postes de travail Horizon Cloud Service et au serveur Hôte de session Bureau à distance (RDSH) un accès aux applications et aux données de votre centre de données et de votre réseau. Elle fournit également un chemin d'accès pour que les utilisateurs, à l'intérieur et à l'extérieur de votre réseau, puissent de connecter à des ressources d'application et de poste de travail d'Horizon Cloud Service. Il est important d'engager du personnel de gestion et de mise en réseau qualifié afin de répondre aux considérations suivantes et de faciliter l'intégration d'Horizon Cloud Service à votre environnement.


VMware, Inc. 20

La figure ci-dessous montre les options d'accès réseau au moyen de VPN IPSec et de Direct Connect, qui est soit une connexion dédiée, un MPLS ou un échange de réseaux, soit votre rack.

Figure 3-1. Stratégies d'accès pour un déploiement Horizon Cloud Service on IBM Cloud

Accès à Horizon Cloud Service à partir d'InternetHorizon Cloud Service prend en charge l'accès Internet direct à des postes de travail Horizon Cloud Service on IBM Cloud et des applications Hôte de session Bureau à distance (RDSH) sans passer par l'infrastructure de votre organisation. Ce type de connexion est particulièrement pratique pour les utilisateurs qui travaillent chez eux ou depuis d'autres emplacements distants. La connexion peut être sécurisée avec des solutions d'authentification à deux facteurs RSA SecurID ou RADIUS. Les connexions basées sur Internet sont intégrées à l'offre Horizon Cloud Service standard.

Choix du type de connexion réseau idéalConsultez l'équipe Horizon Cloud Service lorsque vous choisissez entre les deux options de connectivité principales. Le choix dépend d'un certain nombre de variables au sein de votre environnement, notamment le nombre de postes de travail, de serveurs Hôte de session Bureau à distance et le type de trafic qui se produit sur la connexion réseau, comme suit :

n VPN IPSec : un VPN IPSec peut être utilisé dans un grand nombre de scénarios, bien qu'avec une bande passante maximale d'1 Go, le VPN ait tendance à être utilisé dans des mises en œuvre plus petites.


VMware, Inc. 21

n Connexion dédiée, MPLS ou échange de réseaux : une connexion dédiée, un MPLS Direct Connect ou un échange de réseaux est généralement recommandé pour un grand nombre de postes de travail et de serveurs Hôte de session Bureau à distance, et pour une utilisation intensive, par exemple plusieurs utilisateurs qui accèdent simultanément à la plate-forme, accèdent à plusieurs applications ou exécutent des transferts de fichiers volumineux.

Note La facilité de dépannage diffère entre ces deux options. Le dépannage d'un VPN IPSec peut être difficile, car il s'exécute sur l'Internet public. Lors du dépannage d'une connexion dédiée, d'un MPLS Direct Connect ou d'un échange de réseaux, vous êtes responsable du circuit de bout en bout et vous pouvez appeler le fournisseur pour résoudre les problèmes.

Présentation du VPNPrenez en compte les VPN, le matériel du routeur et la configuration d'IPSec lors de la configuration de la connectivité réseau pour Horizon Cloud Service.

Envoi du trafic via un VPN IPSec de site à siteLes VPN IPSec de site à site connectent des réseaux séparés les uns aux autres via l'Internet public. Par exemple, un réseau de succursales peut se connecter via un VPN de site à site à un réseau de sièges. Chaque site sur le réseau est équipé d'une passerelle VPN, telle qu'un routeur, un pare-feu, un concentrateur VPN ou un dispositif de sécurité.

La configuration d'une connexion VPN IPSec depuis un réseau distant vers Horizon Cloud Service est le scénario le plus courant, en raison de sa simplicité relative et de la durée courte nécessaire pour établir le tunnel VPN IPSec. Lors de l'utilisation de VPN IPSec, la bande passante maximale est d'environ 1 Gbit/s en raison de la limitation de la passerelle Edge Gateway.

Le tunnel VPN IPSec de site à site inclut des connexions point à point logiques et chiffrées entre les instances d'Horizon Cloud Service et le site de votre organisation. Ces connexions fournissent un accès sécurisé aux services de centre de données de votre organisation, tels que les applications d'entreprise, les serveurs Active Directory, DNS et DHCP. Elles fournissent également un accès sécurisé pour le trafic de protocole provenant des réseaux de votre organisation.

Lors de la configuration d'une connexion VPN IPSec depuis un réseau distant vers Horizon Cloud Service, gardez à l'esprit les points suivants :


Pics de latence Le tunnel VPN IPSec étant créé via l'Internet public, il fait l'objet d'une congestion ou connaît d'autres problèmes liés au réseau communs aux connexions Internet publiques qui peuvent augmenter la latence. Les pics de latence causés par l'Internet public échappent au contrôle de votre entreprise et de VMware.

Configuration Lors de la configuration des VPN IPSec, il est recommandé de gérer les VPN à l'aide du matériel du routeur pour des raisons de performances. Il n'est pas recommandé de configurer des VPN à l'aide d'un serveur Windows. Plusieurs connexions VPN sont prises en charge, bien qu'elles ne doivent pas avoir les mêmes listes de sources et de destinations, car la passerelle Edge Gateway ne peut pas déterminer le tunnel IPSec vers lequel router le trafic.


VMware, Inc. 22


Redondance L'incorporation de deux VPN IPSec pour la redondance est une option, mais la liaison des VPN n'est pas prise en charge. Le premier VPN est défini comme actif et le VPN secondaire est désactivé. Horizon Cloud Service ne fournit pas le basculement automatisé pour les VPN. Si une panne se produit, le VPN doit être basculé manuellement.

Formulaire Web de configuration d'Horizon Cloud

Pendant la configuration de VPN, vous fournissez des informations dans le formulaire Web de configuration d'Horizon Cloud, notamment le fournisseur du routeur, le modèle du routeur et l'adresse IP du point de terminaison. VMware fournit l'adresse IP du point de terminaison du locataire Horizon Cloud Service, qui est utilisée lors de l'établissement du tunnel VPN IPSec. Cette adresse IP est fournie lors du déploiement d'Horizon Cloud Service.

Sous-réseaux Vous devez fournir la liste des sous-réseaux autorisés sur l'ensemble de la connexion VPN, généralement appelée liste de réseaux protégés ou listes de sources et de destinations. Cette liste définit les réseaux internes qui peuvent traverser le VPN pour accéder aux postes de travail virtuels et applications hébergées sur le serveur RDSH au sein de votre réseau, ainsi que les postes de travail virtuels et applications hébergées sur le serveur RDSH qui peuvent traverser le VPN pour accéder aux différents services au sein de votre réseau.

Routage réseau Pour les connexions à Horizon Cloud Service basées sur VPN, le routage statique est configuré pendant le processus d'homologation VPN. Si d'autres exigences de routage de mise en réseau se produisent, ouvrez un ticket de support VMware pour ajouter les réseaux.

Paramètres de VPN IPSecLe formulaire Web de configuration Horizon Cloud répertorie les protocoles et les paramètres VPN IPSec obligatoires et facultatifs si vous choisissez de configurer un VPN de site à site entre votre réseau et le centre de données VMware.

Pour les VPN IPSec, Horizon Cloud Service utilise la passerelle Edge Gateway, un dispositif virtuel qui fournit des options et des fonctionnalités de sécurité supplémentaires. La passerelle Edge Gateway prend en charge le mode principal pour la Phase 1 et le mode rapide pour la Phase 2. Pour avoir une explication de ces termes, consultez votre ingénieur en mise en réseau ou le Guide d'administration de VMware NSX.

Le tableau ci-dessous répertorie les protocoles et les paramètres à utiliser dans chaque phase. Vous devez définir les mêmes protocoles et paramètres pour chaque phase sur votre réseau et dans Horizon Cloud Service. Par exemple, les paramètres ISAKMP sont utilisés pour la Phase 1, les paramètres IKE sont utilisés pour la Phase 2, et les protocoles Oakley sont utilisés pour l'authentification ainsi que pour le groupe MODP 2. Tous les paramètres sont obligatoires. Lors de la mise à niveau vers la passerelle Edge Gateway, l'utilisation de Perfect Forward Secrecy (PFS) pour la régénération de clés est facultative dans la Phase 2.

Protocoles et paramètres Phase 1 Phase 2

Hachage (SHA ou MD5) SHA1 SHA1

Mode d'authentification Principal Rapide

Chiffrement AES, AES256, Triple DES, AES-GCM AES, AES256, Triple DES, AES-GCM

Groupe Diffie-Hellman (2, 5, 14, 15 ou 16) 2 2


VMware, Inc. 23

Protocoles et paramètres Phase 1 Phase 2

Encapsulation (AH ou ESP) S/O ESP

Durée de vie 28800 3600

PFS (Perfect Forward Secrecy) S/O Vrai. Conditions requises du secret partagé : vous pouvez fournir votre propre secret partagé ou Horizon Cloud Service peut générer un secret partagé aléatoire à utiliser des deux côtés.

n Entre 32 et 128 caractères

n Au moins 1 caractère majuscule

n Au moins 1 caractère minuscule

n Au moins 1 nombre

n Pas de caractères spéciaux

Note Certains paramètres VPN IPSec, tels que les temporisateurs de durée de vie de l'association de sécurité (SA), qui définissent la durée de vie qu'un tunnel donné utilise pour chiffrer les données, ne peuvent pas être modifiés dans la passerelle Edge Gateway. Ces paramètres doivent être modifiés sur l'équipement du locataire pour correspondre à ceux de la passerelle Edge Gateway. Le processus de déploiement comprend deux phases, la Phase 1 et la Phase 2 incluant des temporisateurs de durée de vie SA. Lorsque le temporisateur SA expire, il renégocie l'authentification des deux côtés. Toutefois, la passerelle Edge Gateway ne s'authentifie pas de nouveau sur le trafic. Elle le fait uniquement sur le temporisateur de durée de vie. Par conséquent, si les temporisateurs ne sont pas définis du côté du locataire pour correspondre à ceux du côté Horizon Cloud Service, ils peuvent provoquer des problèmes dans le tunnel VPN.

Options de connectivité VPNVous avez le choix entre plusieurs options de connectivité lorsque vous utilisez un VPN pour vous connecter depuis votre entreprise à Horizon Cloud Service.

Une première option, appelée locataire îlot, n'utilise pas de connexion VPN dédiée ou de connexion permanente à votre entreprise. Les deux autres options soulignent les différentes configurations de routage disponibles pour le flux du trafic utilisateur et Internet dans l'invité en fonction de la manière dont vous préférez exploiter la connexion VPN. Un point important dans le processus consiste à choisir la manière dont le trafic Internet est acheminé à partir des postes de travail et applications Horizon Cloud Service : via une connexion Internet fournie par Horizon Cloud Service ou via votre propre réseau.

Option de connectivité 1 : locataire îlot (pas de VPN)L'option la plus rapide et la plus simple pour déployer Horizon Cloud Service consiste à configurer un locataire îlot.


VMware, Inc. 24

Comme indiqué dans le diagramme ci-dessous, l'ensemble du trafic de protocole et dans l'invité transite par la passerelle Horizon Cloud Service dans le locataire Horizon Cloud Service. Il n'existe aucune connexion entre le réseau du client et le locataire Horizon Cloud Service. Tous les utilisateurs de poste de travail, les applications publiées et les serveurs Hôte de session Bureau à distance se connectent via Internet. Pour plus d'informations sur les cas d'utilisation possibles pour les locataires îlot, reportez-vous à la section Choix entre un annuaire Active Directory intégré et isolé.


VMware, Inc. 25

Figure 3-2. Modèle de déploiement de locataire îlot isolé


VMware, Inc. 26

Option de connectivité 2 : VPN à l'aide de la connexion Internet Horizon Cloud ServiceLa méthode de connectivité la plus courante pour les déploiements d'Horizon Cloud Service consiste à configurer un VPN entre le réseau de votre organisation et votre locataire Horizon Cloud Service. Cette méthode ressemble en tous points à un environnement de succursale.

Cette option achemine le trafic lié à Internet des postes de travail des utilisateurs via la passerelle Horizon Cloud Service, tandis que l'ensemble du trafic dans l'invité, tel que les applications de poste de travail, l'authentification, DHCP et DNS, traverse le VPN jusqu'au réseau de votre organisation. Vous avez également la possibilité d'autoriser tous les utilisateurs à se connecter via Internet ou d'autoriser uniquement les utilisateurs locaux à se connecter via le VPN lorsque des utilisateurs externes se connectent via Internet aux postes de travail Horizon Cloud Service et aux serveurs Hôte de session Bureau à distance.

Comme indiqué dans le diagramme ci-dessous, le trafic de protocole pour les utilisateurs externes qui se connectent aux postes de travail et aux serveurs Hôte de session Bureau à distance traverse également la passerelle Horizon Cloud Service jusqu'au dispositif Unified Access Gateway. Le dispositif Unified Access Gateway agit comme un proxy sécurisé pour votre connexion dans l'environnement Horizon Cloud Service et achemine le trafic Horizon Cloud Service par proxy vers et depuis la zone de sécurité. Le trafic de protocole pour les utilisateurs qui se connectent à partir du réseau de votre organisation peut être configuré pour se connecter via Internet ou pour traverser le VPN afin d'atteindre les postes de travail et les serveurs Hôte de session Bureau à distance. Les utilisateurs internes se connectent également via des dispositifs Unified Access Gateway qui se trouvent dans des zones de confiance internes.


VMware, Inc. 27

Figure 3-3. VPN avec le trafic Internet


VMware, Inc. 28

Option de connectivité 3 : VPN avec trafic lié à Internet via la passerelle de votre organisationCette option achemine l'ensemble du trafic lié à Internet et dans le client sur le VPN vers le réseau de votre organisation. Vous conservez la possibilité d'autoriser tous les utilisateurs à se connecter à Horizon Cloud Service via Internet, via le VPN ou une combinaison des deux.

L'ensemble du trafic dans l'invité, tel que les applications de poste de travail, l'authentification, DHCP et DNS, ainsi que le trafic de poste de travail lié à Internet, traverse le VPN et passe par la passerelle de votre organisation. Le trafic lié à Internet peut alors être soumis à tout filtrage Web mis en place. Le trafic de protocole pour les utilisateurs externes se connectant aux postes de travail et aux serveurs Hôte de session Bureau à distance passe par la passerelle Horizon Cloud Service, qui fournit un accès via Internet.

Comme indiqué à la figure ci-dessous, cette option augmente le trafic sur le VPN, mais offre l'avantage commercial de permettre une visibilité et un contrôle complets sur l'activité des utilisateurs et des postes de travail. Cette configuration fournit des options supplémentaires pour garantir les niveaux les plus élevés en matière de sécurité et de respect de la réglementation.

Note Cette option ne fonctionne pas directement lors du passage à une configuration de Direct Connect. Si vous prévoyez d'effectuer une mise à l'échelle au-delà de la bande passante VPN disponible, contactez votre représentant Horizon Cloud Service pour bien comprendre vos options et les points à prendre en compte.


VMware, Inc. 29

Figure 3-4. VPN avec une connexion Internet de poste de travail via la passerelle de votre organisation


VMware, Inc. 30

Présentation de Direct ConnectDirect Connect vous permet de configurer une connexion privée de bout en bout avec votre locataire Horizon Cloud Service via une connexion dédiée, un MPLS, un échange de réseaux ou votre propre équipement de mise en réseau situé dans le même centre de données.

Horizon Cloud Service fournit un port d'1 Go ou de 10 Go lors de l'extension de votre centre de données et de vos services, tels que des applications d'entreprise, des serveurs Active Directory, DNS et DHCP, dans Horizon Cloud Service. Direct Connect vous donne le contrôle complet de la connexion entre votre centre de données et le centre de données VMware par le biais du contrat de votre fournisseur de services réseau. Les options Direct Connect prises en charge sont présentées dans le tableau ci-dessous.

Option Description

Direct Connect avec Cross Connect : 1 Go ou 10 Go Direct Connect avec Cross Connect est utilisé avec une connexion dédiée, un MPLS ou votre propre équipement de mise en réseau situé dans le même centre de données.

Direct Connect avec échange de réseaux : 1 Go ou 10 Go

Direct Connect avec échange de réseaux est utilisé lors de la connexion à un échange de réseaux ou un échange de Cloud, tel qu'Equinix Cloud Exchange.

Zones de propriété pour les options Direct ConnectComme indiqué dans le diagramme ci-dessous, les zones de propriété pour les options Direct Connect sont réparties dans un déploiement standard d'Horizon Cloud Service on IBM Cloud.

L'espace de rencontre représente le point de démarcation où les connexions extérieures sont introduites dans le centre de données, telles qu'une connexion dédiée externe, une ligne MPLS ou un échange de réseaux qui se connecte au réseau Horizon Cloud Service.


VMware, Inc. 31

Figure 3-5. Zones de propriété

Envoi du trafic via une connexion dédiée ou un VPN Direct Connect MPLSUne connexion dédiée ou un MPLS achemine le trafic au sein d'un réseau de télécommunication à mesure que les données transitent d'un nœud de réseau à l'autre. La création d'un tunnel VPN Direct Connect MPLS a un coût plus élevé que la création d'une connexion VPN IPSec de site à site, mais elle offre certains avantages.

Les circuits Direct Connect MPLS ne sont pas partagés avec d'autres, comme c'est le cas avec les connexions acheminées sur Internet, afin qu'ils ne subissent pas les interruptions qui peuvent se produire sur l'Internet public. Les fournisseurs Direct Connect offrent une bande passante et des contrats de niveau de service validés. Le coût du service dépend des options que vous choisissez et de la quantité de bande passante dédiée dont vous avez besoin.


VMware, Inc. 32

Envoi du trafic via un échange de réseauxUn échange de réseaux, également appelé échange de Cloud, est un service qui connecte votre réseau privé via votre fournisseur de services réseau préféré à des fournisseurs de services Cloud, comme Horizon Cloud Service, en utilisant des connexions sécurisées, à haut débit et à faible latence.

Un échange de réseaux a généralement un coût inférieur à la création d'un tunnel VPN Direct Connect MPLS. Dans la plupart des cas, il peut également être activé en quelques heures, ce qui réduit le temps total nécessaire pour connecter Horizon Cloud Service au site de votre organisation. Horizon Cloud Service fournit Equinix Cloud Exchange comme option d'échange de réseaux.

Connexion d'un rack existant dans le même centre de donnéesSi vous disposez déjà de ressources et de services informatiques colocalisés dans le même centre de données qu'Horizon Cloud Service, vous pouvez connecter l'environnement existant au locataire Horizon Cloud Service.

Options de connectivité Direct ConnectVous avez le choix entre plusieurs options de connectivité Direct Connect, qui fournissent une bande passante supplémentaire et un contrôle des flux de données d'entreprise et d'utilisateur de votre organisation en fonction de la configuration définie.

Outre les besoins en bande passante, il est essentiel de choisir la manière dont le trafic Internet est acheminé à partir des postes de travail et des applications Horizon Cloud Service : via une connexion Internet fournie par Horizon Cloud Service ou via une connexion Direct Connect à votre propre réseau. Travaillez en collaboration avec l'équipe Horizon Cloud Service afin de choisir l'option Direct Connect qui correspond le mieux aux besoins de votre organisation.

Option Direct Connect 1 : Direct Connect à l'aide la connexion Internet Horizon Cloud ServiceComme pour l'option VPN 2, cette option achemine le trafic de poste de travail lié à Internet à l'aide de la passerelle Horizon Cloud Service et le trafic dans l'invité à l'aide de Direct Connect. Cette option est un bon choix lorsque vous disposez d'une quantité significative de trafic d'application dans l'invité utilisant Direct Connect et que vous souhaitez tirer parti de la bande passante Internet de VMware fournie avec votre locataire.

Comme indiqué à la figure 7, l'ensemble du trafic dans l'invité, tel que les applications de poste de travail, l'authentification, DHCP et DNS, traverse Direct Connect jusqu'au réseau de votre organisation. Le trafic de poste de travail et de serveur Hôte de session Bureau à distance est acheminé via la passerelle Horizon Cloud Service.

Le trafic de protocole pour les utilisateurs externes qui se connectent aux postes de travail et aux serveurs Hôte de session Bureau à distance passe également par la passerelle Horizon Cloud Service au dispositif Unified Access Gateway. Le dispositif Unified Access Gateway agit comme un proxy sécurisé pour votre connexion dans l'environnement Horizon Cloud Service et achemine le trafic Horizon Cloud Service par proxy vers et depuis la zone de sécurité. Le trafic de protocole pour les utilisateurs qui se


VMware, Inc. 33

connectent à partir du réseau de votre organisation peut être configuré pour se connecter via Internet ou pour traverser Direct Connect afin d'atteindre les postes de travail et les serveurs Hôte de session Bureau à distance. Les utilisateurs internes se connectent également via des dispositifs Unified Access Gateway qui se trouvent dans des zones de confiance internes.


VMware, Inc. 34

Figure 3-6. Connectivité à l'aide de la connexion Internet Horizon Cloud Service


VMware, Inc. 35

Option Direct Connect 2 : Direct Connect avec Internet sur la passerelle Internet appartenant à la sociétéCette configuration de routage Direct Connect est un bon choix lorsque vous avez besoin que l'ensemble du trafic dans le client et le trafic de poste de travail lié à Internet traverse Direct Connect via la passerelle Internet de votre entreprise, mais aussi lorsque vous avez besoin que les utilisateurs puissent se connecter via Internet. Le trafic de poste de travail destiné à Internet doit être géré via l'agent proxy fourni ou via une configuration de stratégie de groupe, car aucun trafic de poste de travail ne traverse la passerelle VMware.

Comme indiqué dans le diagramme ci-dessous, le trafic externe du protocole utilisateur passe par la passerelle Horizon Cloud Service pour fournir un accès aux postes de travail et aux applications, mais l'ensemble du trafic dans le client et le trafic de poste de travail lié à Internet traverse Direct Connect vers le centre de données de l'organisation. Cette option offre l'avantage de permettre une visibilité et un contrôle complets sur l'activité des utilisateurs et des postes de travail. Cependant, cette option peut poser d'importants problèmes lors de l'acheminement du trafic de protocole provenant d'Internet, car elle empêche les utilisateurs de se connecter à distance à l'environnement. Si vous envisagez cette option, contactez votre représentant Horizon Cloud Service pour bien comprendre les éléments à prendre en compte.


VMware, Inc. 36

Figure 3-7. Connectivité via la passerelle Internet de votre organisation


VMware, Inc. 37

Option Direct Connect 3 : aucune connectivité Internet via la passerelle Horizon Cloud ServiceAvec cette option, le routage est configuré de telle sorte que toute la connectivité aux postes de travail Horizon Cloud Service transite par Direct Connect et qu'aucune connexion Internet ne passe par la passerelle Horizon Cloud Service. Cette option offre l'avantage de permettre une visibilité et un contrôle complets sur l'ensemble de l'activité des protocoles, des utilisateurs et des postes de travail afin de garantir les niveaux les plus élevés en matière de sécurité et de respect de la réglementation. Cette option est appropriée lorsque vous demandez à tous les utilisateurs de se connecter à Horizon Cloud Service via le réseau de votre organisation.

Comme indiqué dans le diagramme ci-dessous, cette option désactive la passerelle Horizon Cloud Service, ce qui rend techniquement impossible aux utilisateurs de se connecter en externe à Horizon Cloud Service via Internet. Tout le trafic de poste de travail (que ce soit le trafic de protocole, dans le client et lié à Internet) traverse Direct Connect via la passerelle Internet privée de l'entreprise. Les utilisateurs doivent se trouver sur le réseau de votre organisation ou être connectés à distance via le VPN de votre organisation pour se connecter à Horizon Cloud Service. Les utilisateurs finaux qui sont connectés via le VPN de votre organisation requièrent que les ports indiqués dans le diagramme ci-dessous soient ouverts sur le VPN de votre organisation. Ces ports sont considérés comme des connexions internes à Horizon Cloud Service.


VMware, Inc. 38

Figure 3-8. Aucune connectivité Internet via Horizon Cloud Service


VMware, Inc. 39

Configuration de Direct ConnectCette rubrique décrit le processus de configuration de Direct Connect.

Lors de la configuration de Direct Connect, collaborez avec votre fournisseur de télécommunications pour établir une connexion au centre de données Horizon Cloud Service, puis connectez-vous à votre locataire Horizon Cloud Service en établissant la connectivité entre le routeur NSP et votre passerelle Edge Gateway. L'équipe d'Horizon Cloud Service collabore avec vous pour établir cette connexion. Vous devez compléter le formulaire de collecte de VMware Direct Connect pour établir la connectivité. Ce formulaire demande des informations de base, telles qu'un contact d'administrateur réseau, votre fournisseur de télécommunications, le type de connectivité et l'ID de circuit.

Lorsque vous utilisez Direct Connect, vous devez fournir un sous-réseau comportant au moins deux adresses (/30) à utiliser entre l'arrêt de l'opérateur et Horizon Cloud Service et établir la connectivité à votre passerelle Edge Gateway.

Vous devez également fournir une LOA-CFA (Letter of Authorization – Customer Request), généralement de votre fournisseur de télécommunications à VMware, pour faciliter la connexion de Cross Connect ou d'échange de réseaux entre le routeur NSP et l'environnement Horizon Cloud Service. La LOA-CFA fournit généralement l'armoire, le tableau de connexions et un numéro de port.

Horizon Cloud Service prend en charge plusieurs connexions directes, même si l'équilibrage de charge des connexions n'est pas pris en charge. Pour déployer des connexions redondantes avec des connexions directes et un basculement automatique, vous devez mettre en œuvre le routage réseau approprié. Pour plus d'informations, reportez-vous à la section Routage réseau.

Routage réseauHorizon Cloud Service prend en charge le routage statique et le routage dynamique, permettant ainsi le transfert du trafic entre Horizon Cloud Service et vos segments de réseau internes.

Les capacités de routage dynamique pour la connexion dédiée, le MPLS ou les connexions basées sur l'échange de réseaux sont fournies via BGP (Border Gateway Protocol), un protocole externe standardisé pour l'échange d'informations de routage entre les systèmes sur Internet. Le routage dynamique via BGP externe (eBGP), une extension de BGP utilisée pour la communication entre les systèmes autonomes, permet la propagation automatique des modifications de routage à Horizon Cloud Service. Quand eBGP est utilisé avec les attributs de chemin d'accès corrects, telle que la manipulation du chemin d'accès local à l'aide de la préférence locale ou du poids, et une manipulation du chemin d'accès distant, telle que Multi-Exit-Discriminator (MED), vous pouvez sélectionner le lien redondant actif. Le protocole garantit également que le basculement automatique entre plusieurs connexions dédiées, le MPLS ou les connexions d'échange de réseaux est pris en charge. Vous êtes responsable de l'attribution du numéro de système autonome BGP au routeur d'Horizon Cloud Service, qui est généralement un nombre privé compris dans la plage 65xxx. Le routage statique est disponible si vous ne pouvez pas prendre en charge le routage BGP.


VMware, Inc. 40

DNS fractionnéLe DNS fractionné est la méthode d'accès à votre environnement Horizon Cloud Service préférée lorsque des utilisateurs se connectent de l'intérieur et de l'extérieur de votre réseau. Le DNS fractionné permet aux utilisateurs du réseau local de se connecter via le réseau interne à une adresse IP privée, et les utilisateurs externes peuvent se connecter à une adresse IP publique tout en utilisant la même URL. Cette méthode simplifie l'accès des utilisateurs finaux qui n'ont donc pas à utiliser deux URL, l'une pour l'instance interne et l'autre pour l'instance externe.

Lors de la configuration du DNS fractionné, créez un hôte (un enregistrement) qui pointe vers l'adresse IP virtuelle des dispositifs Unified Access Gateway internes dans une zone de recherche directe DNS spécifique sur vos serveurs DNS internes. La zone de recherche directe DNS est basée sur la configuration DNS actuelle. Si vous disposez du même nom DNS pour la connexion interne et externe, créez l'enregistrement A dans la zone de recherche directe. Si vous ne disposez pas du même nom DNS pour la connexion interne et externe ou si vous utilisez l'URL d'Horizon Cloud Service, créez une zone de stub DNS avec une recherche directe qui correspond au nom de domaine complet externe. Créez ensuite l'enregistrement A dans la zone de recherche directe.

Exemple d'architecture de réseau de locatairesLa figure ci-dessous montre deux options pour la connectivité réseau à Horizon Cloud Service : un locataire îlot sans connectivité VPN et un locataire avec une connectivité VPN se connectant à votre centre de données sur site.

Le diagramme ci-dessous présente également les dispositifs locataires Horizon Cloud Service et les dispositifs Unified Access Gateway, ainsi que les serveurs d'utilitaires.


VMware, Inc. 41

Figure 3-9. Exemple d'architecture de réseau de locataires

Présentation des zonesHorizon Cloud Service on IBM Cloud établit des zones qui isolent les différentes ressources en fonction de leur fonction. Horizon Cloud Service dispose de trois zones. Chaque zone est propre à chaque déploiement d'Horizon Cloud Service et n'est pas partagée.

Zone Description

Zone de sécurité Zone DMZ (Demilitarized Security Zone) qui héberge les dispositifs Unified Access Gateway externes. Cette zone facilite l'accès à distance sécurisé à l'environnement de locataires Horizon Cloud Service.

Zone de services Zone qui héberge Horizon Cloud Service, notamment les dispositifs locataires, les serveurs d'utilitaires et les dispositifs Unified Access Gateway internes

Zone de postes de travail Zone qui héberge les postes de travail et les serveurs Hôte de session Bureau à distance


VMware, Inc. 42

Dispositifs Horizon Cloud ServiceLe dispositif locataire contient votre console d'administration d'Horizon Cloud Service, le portail utilisateur d'Horizon Cloud Service, la base de données de configuration de compte et les mappages de postes de travail, ainsi que les informations de jonction de domaine. Le dispositif Unified Access Gateway permet un accès sécurisé pour les connexions internes et externes à des postes de travail virtuels Horizon Cloud Service et des applications hébergées sur RDSH. Pour la redondance et la haute disponibilité, deux de chaque dispositif sont déployés.

Dispositif Description

Dispositif locataire Dispositif Linux renforcé qui fournit des services d'intermédiation, de provisionnement et de droits de poste de travail et d'application. Ce dispositif héberge les portails d'utilisateur final et d'administration, qui font partie de la zone de services, et communique les informations d'état au fournisseur de services.

Unified Access Gateway Dispositif Linux renforcé qui fournit un accès à distance sécurisé à l'environnement Horizon Cloud Service. Ce dispositif fait partie de la zone de sécurité (pour l'accès externe à Horizon Cloud Service) et de la zone de services (pour l'accès interne à Horizon Cloud Service).

Serveurs d'utilitaires Par défaut, un serveur d'utilitaires est fourni gratuitement. Il est facultatif sauf si vous l'avez noté dans la description du service. Les serveurs d'utilitaires peuvent être des serveurs Active Directory, DNS, DHCP et UEM, ou des serveurs de fichiers pour colocaliser les services dans le locataire Horizon Cloud Service. Ils sont connectés à votre réseau (zone de services).

Dispositif Edge Gateway Passerelle qui fournit des services de passerelle et de sécurité Edge réseau pour isoler les zones de sécurité et les réseaux virtualisés avec NAT, DHCP, VPN et un équilibrage de charge.

Sécurité réseauHorizon Cloud Service utilise un dispositif Edge Gateway pour gérer la connectivité VPN et Direct Connect, ainsi que tout trafic de gestion, entrant et sortant du locataire Horizon Cloud Service sur lequel résident les postes de travail, les serveurs Hôte de session Bureau à distance et les dispositifs de gestion.

Si vous souhaitez de la mémoire tampon supplémentaire entre les dispositifs de gestion et l'environnement réseau de votre organisation, envisagez de déployer une stratégie de pare-feu gérée par l'entreprise tant que tous les ports requis sont activés pour les utilisateurs internes et distants et toutes les applications ou services dont ces utilisateurs ont besoin.

Présentation d'Unified Access GatewayVMware Unified Access Gateway (anciennement VMware Access Point) est un dispositif virtuel Linux renforcé qui permet un accès à distance sécurisé à l'environnement Horizon Cloud Service. Si vos utilisateurs utilisent une connexion externe via l'Internet public, que le trafic soit basé sur le Web ou sur le protocole, le trafic est envoyé au dispositif Unified Access Gateway externe. Unified Access Gateway agit comme un proxy sécurisé pour votre connexion dans l'environnement Horizon Cloud Service. Le dispositif Unified Access Gateway externe achemine par proxy le trafic Horizon Cloud Service vers et depuis la zone de sécurité. La zone de sécurité est une structure de sécurité de mise en réseau DMZ qui


VMware, Inc. 43

fournit un segment de l'accès au réseau de votre organisation à l'extérieur, mais avec des règles strictes qui réglementent l'accès à ce qui se trouve à l'intérieur de votre réseau. Pour les utilisateurs internes se connectant à l'environnement Horizon Cloud Service, le trafic est envoyé aux dispositifs Unified Access Gateway internes situés dans la zone de services.

Considérations supplémentairesLes rubriques liées ci-dessous fournissent des informations sur des problèmes supplémentaires que vous pouvez rencontrer lors de la configuration de votre environnement réseau.

Choix entre un annuaire Active Directory intégré et isoléBien que la plate-forme Horizon Cloud Service repose sur Active Directory, il n'est pas nécessaire d'intégrer Horizon Cloud Service à votre environnement Active Directory existant. Vous pouvez intégrer votre annuaire Active Directory dans Horizon Cloud Service à tout moment. Vous avez la possibilité d'utiliser un domaine Active Directory distinct et isolé qui est local pour les applications et les postes de travail Horizon Cloud Service.

Le choix d'un domaine isolé est avantageux pour les cas d'utilisation suivants :

Cas d'utilisation Description

Preuve de concept technologique Convient à une organisation qui s'engage dans une preuve de concept technologique sans intégrer directement l'infrastructure de votre organisation. Dans un domaine pilote, vous pouvez configurer tout ce qui est nécessaire pour tester et valider vos cas d'utilisation dans un environnement entièrement Sandbox.

Organisations comportant des utilisateurs externalisés

Convient à une grande organisation qui externalise le travail de développement dans d'autres pays et doit fournir aux employés des postes de travail sans connexion directe à l'infrastructure de votre organisation. Dans un domaine pilote, vous pouvez configurer tout ce dont les employés ont besoin dans un environnement entièrement Sandbox.

Organisations comportant des utilisateurs saisonniers

Convient à une organisation qui connaît des pics d'activité deux ou trois fois par an pendant une période donnée et qui ne souhaite pas ajouter un grand nombre de postes de travail dans la structure Active Directory de votre organisation. Vous pouvez utiliser un domaine pilote distinct lorsque vous en avez besoin et l'ignorer lorsque la saison est terminée.

Organisations disposant de ressources limitées

Pour une organisation plus petite sans infrastructure, vous pouvez utiliser un domaine isolé distinct pour économiser le coût de la création d'une infrastructure principale de services d'annuaire.

Lors de l'implémentation d'un compte îlot, reportez-vous à la section Considérations relatives aux licences du contrat SLA Horizon Cloud Service.

Considérations relatives aux sous-réseauxVotre locataire Horizon Cloud Service contient plusieurs zones. Pour la zone de services et la zone de postes de travail, vous devez attribuer les réseaux à utiliser. Si vous intégrez à votre environnement existant, ces réseaux ne peuvent pas être utilisés.


VMware, Inc. 44

La zone de services héberge Horizon Cloud Service, notamment les dispositifs locataires, les serveurs d'utilitaires et les dispositifs Unified Access Gateway internes. Il est recommandé d'utiliser un sous-réseau qui fournit approximativement 30 adresses IP (/27), bien qu'il vous incombe de déterminer si ce nombre est approprié en fonction de vos besoins. Ce sous-réseau ne peut pas chevaucher les réseaux existants dans votre infrastructure réseau.

La zone de postes de travail est celle où se trouvent tous vos postes de travail et serveurs Hôte de session Bureau à distance. Vous définissez et attribuez un réseau pour prendre en charge le nombre total de postes de travail et de serveurs Hôte de session Bureau à distance dont vous avez besoin. Il est recommandé de conserver une capacité d'adresse supplémentaire dans le sous-réseau pour les actualisations de poste de travail et la maintenance. Le sous-réseau ne peut pas chevaucher ce qui est déjà utilisé sur votre infrastructure réseau.

Lorsque vous utilisez des options Direct Connect, vous devez fournir un réseau comportant au moins deux adresses (/30) à utiliser entre l'arrêt de l'opérateur et VMware. Pour plus d'informations, reportez-vous à la section Présentation de Direct Connect.

Trafic de protocole, dans l'invité et lié à InternetLa compréhension des flux de trafic associés à Horizon Cloud Service est essentielle lors du choix du type de réseau à implémenter. C'est également une étape importante avant tout déploiement d'Horizon Cloud Service. Tenez compte du trafic de protocole généré par les instances d'Horizon Client, et du trafic réseau généré par les applications et les autres services sur les postes de travail Horizon Cloud Service et les serveurs Hôte de session Bureau à distance.

Note Au minimum, un VPN de site à site, une connexion dédiée, un MPLS ou un échange de réseaux est nécessaire pour Active Directory, DNS, DHCP et NTP, sauf avec les comptes îlot. Un compte îlot n'a aucune connectivité avec le site du locataire. Tout accès au système provient donc de l'Internet public. Un compte îlot est une implémentation dans laquelle Horizon Cloud Service héberge les services de base Active Directory, DNS, DHCP et NTP. Lors de l'implémentation d'un compte îlot, reportez-vous à la section Considérations relatives aux licences dans le contrat SLA d'Horizon Cloud Service.

Trafic de protocole

Le trafic de protocole est l'échange du trafic réseau entre le poste de travail virtuel et le point de terminaison via les protocoles d'accès PCoIP, Blast Extreme ou Blast HTML5. Les images d'écran, les mouvements de clavier et de souris, le trafic de périphériques USB et d'autres périphériques se déplacent entre le point de terminaison et le poste de travail virtuel en utilisant le protocole Horizon souhaité. Il est important de tenir compte du trafic de protocole pour dimensionner correctement la connexion réseau à Horizon Cloud Service. Le trafic de protocole peut utiliser la même connexion réseau pour d'autres trafics dans l'invité, ce qui peut potentiellement affecter l'expérience de l'utilisateur final.

Trafic dans l'invité

Le trafic dans l'invité est créé lorsqu'une application effectue un appel réseau à une autre application ou à un service informatique depuis le poste de travail virtuel ou le serveur Hôte de session Bureau à distance (RDSH). C'est le cas, par exemple, lorsque le navigateur se lance à partir du poste de travail et atteint un site Web d'entreprise hébergé en interne. Le trafic dans l'invité lié aux ressources informatiques internes


VMware, Inc. 45

est acheminé vers la connexion réseau au centre de données ou au réseau du client. Il est important de planifier correctement la connexion réseau au centre de données du client. Outre la garantie d'une large bande passante, vous pouvez spécifier des routes et des connexions alternatives à des ressources du centre de données pour séparer le trafic de protocole et le trafic dans l'invité.

Trafic lié à Internet

Une étape clé du processus consiste à choisir la manière dont le trafic Internet est acheminé depuis les applications et postes de travail Horizon Cloud Service. Vous pouvez utiliser la connexion Internet fournie par Horizon Cloud Service ou acheminer l'ensemble du trafic lié à Internet via le réseau de votre organisation. Déterminer la façon dont le trafic lié à Internet est acheminé au sein d'un centre de données VMware Data dépend de l'option de routage que vous choisissez pour la route par défaut (0.0.0.0/0).

DHCPAssurez-vous que le sous-réseau de postes de travail inclut suffisamment d'adresses IP pour couvrir le nombre de postes de travail et de serveurs Hôte de session Bureau à distance qui sont provisionnés, ainsi que la mémoire tampon supplémentaire pour le chevauchement.

Par exemple, si vous indiquez /24 au format CIDR pour le sous-réseau, vous obtenez exactement 252 adresses. L'ajout anticipé de sous-réseaux supplémentaires permet une extension de capacité transparente lorsque cela est nécessaire.

Choix des URL du portail utilisateur d'Horizon Cloud Service et du portail de la console d'administrationLes utilisateurs et les administrateurs accèdent aux postes de travail, aux serveurs Hôte de session Bureau à distance et aux fonctions de gestion via des portails Web sécurisés. Les deux portails utilisent la même URL, suivie de /horizonadmin, comme l'indique l'exemple ci-dessous.

Portail Description Exemple d'URL

Portail utilisateur d'Horizon Cloud Service

Portail Web offrant aux utilisateurs finaux un accès sans client aux postes de travail et aux applications Horizon Cloud Service à l'aide de HTML5

https://desktop.virtualdesktopaccess.com

Console d'administration d'Horizon Cloud Service

Portail Web utilisé par les administrateurs informatiques pour provisionner et gérer des postes de travail et des applications Horizon Cloud Service, des droits de ressources et des images

https://desktop.virtualdesktopaccess.com/horizonadmin

Vous pouvez définir la convention de dénomination utilisée pour ces portails.

Option 1 de l'URL du portailCette option est la plus courante pour les pilotes en raison de sa simplicité et de sa convivialité. Le domaine DNS est détenu et fourni par VMware. Vous pouvez également configurer le DNS fractionné pour l'accès interne.

n https://companyname.horizon.vmware.com


VMware, Inc. 46

n Utilise le certificat VMware *.horizon.vmwware.com

Option 2 de l'URL du portailL'option 2 inclut deux choix. Le propriétaire de virtualdesktopaccess.com doit fournir un certificat SSL dans un format Apache2 et configurer des enregistrements DNS internes et publics (si nécessaire) à l'aide du DNS fractionné.

n https://desktop.virtualdesktopaccess.com

n https://www.virtualdesktopaccess.com

Choix 1 : si vous disposez d'un VPN de site à site ou de Direct Connect, vous pouvez choisir de rendre la console d'administration Horizon Cloud Service accessible sur l'Internet public.

Choix 2 : si vous disposez d'un locataire îlot sans VPN de site à site ou Direct Connect, le portail utilisateur et la console d'administration d'Horizon Cloud Service doivent être accessibles sur l'Internet public via Unified Access Gateway.


VMware, Inc. 47

Respect des exigences relatives à Active Directory 4Il est important de configurer votre annuaire Active Directory avant de déployer Horizon Cloud Service.

Consultez votre équipe Active Directory rapidement et souvent tout au long du processus de déploiement. Incluez des représentants de votre équipe Active Directory avec les autorisations d'administrateur de domaine appropriées dans le processus de prise de décision et de déploiement, dès le début. Cela permet à chacun de poser des questions, d'exprimer ses préoccupations et de résoudre les problèmes tôt dans le processus de déploiement. Les rubriques qui doivent être prises en compte sont liées ci-dessous.


n Sélection d'un annuaire Active Directory existant ou isolé

n Création de comptes de service pour Active Directory

n Création de groupes pour Active Directory

n Création d'une UO Horizon Cloud Service unique pour Active Directory

n Configuration des étendues DHCP et du code d'option 74 ou configuration manuelle des agents DaaS

Sélection d'un annuaire Active Directory existant ou isoléBien que la plate-forme Horizon Cloud Service repose sur Active Directory (AD), il n'est pas nécessaire d'intégrer Horizon Cloud Service à un environnement AD existant. Vous pouvez utiliser un domaine AD distinct et isolé qui est local pour le service des applications et des postes de travail Horizon Cloud Service. Vous pouvez demander un domaine isolé à l'équipe Horizon Cloud Service.

Le choix d'un domaine pilote est avantageux pour les cas d'utilisation suivants :

VMware, Inc. 48

Cas d'utilisation Description

Entreprises comportant des utilisateurs externalisés

Si votre entreprise externalise le travail de développement dans d'autres pays, vous devez fournir aux employés des postes de travail, mais vous ne souhaitez peut-être pas qu'ils se connectent directement à votre propre infrastructure. Dans un domaine pilote, vous pouvez configurer tout ce dont les employés ont besoin dans un environnement isolé.

Entreprises comportant des utilisateurs saisonniers

Si votre entreprise connaît un pic d'activité du travail saisonnier deux ou trois fois par an pendant deux mois, vous ne souhaitez peut-être pas ajouter un grand nombre de postes de travail à la structure AD de votre entreprise. Vous pouvez utiliser un domaine pilote distinct lorsque vous en avez besoin et l'ignorer lorsque la saison est terminée.

Entreprises disposant de ressources limitées Si votre entreprise dispose d'une infrastructure limitée, vous pouvez utiliser un domaine isolé distinct pour économiser le coût de la création d'une infrastructure de services d'annuaire principale.

Création de comptes de service pour Active DirectoryDeux types de comptes de service sont requis si vous choisissez d'intégrer l'environnement Horizon Cloud Service à un annuaire Active Directory (AD) existant : la liaison de domaine et la jonction de domaine.

n Le compte de liaison de domaine analyse votre structure AD et récupère tous les utilisateurs désignés pour Horizon Cloud Service.

n Le compte de jonction de domaine joint les postes de travail virtuels et les serveurs Hôte de session Bureau à distance au domaine AD. Pour plus d'informations, consultez le Guide d'administration.

Pour obtenir des exemples, consultez le formulaire Web de configuration d'Horizon Cloud.

Création de groupes pour Active DirectoryPour mapper efficacement des utilisateurs à des postes de travail, des applications et des fonctions d'administration des locataires dans la plate-forme Horizon Cloud Service, il est prudent de créer des groupes dans Active Directory (AD) pour chaque type de rôle, de fonction et d'accès.

Gardez les points suivants à l'esprit pour maintenir la compatibilité avec la plate-forme Horizon Cloud Service :

n Éviter l'imbrication : ne créez pas de groupes imbriqués pour garantir des recherches d'objets AD efficaces. Les objets utilisateur sont les seuls membres d'un groupe.

n Éviter le mélange : ne mélangez pas les membres de plusieurs domaines (enfants ou approuvés) dans le même groupe.

n Créer des groupes : créez des groupes distincts pour l'administration des locataires, le support technique du service d'assistance, les utilisateurs de test et de validation et les utilisateurs de production. Si plusieurs domaines sont configurés pour un locataire Horizon Cloud Service, les administrateurs informatiques doivent créer des groupes similaires pour l'administration des locataires, le support technique du service d'assistance, les utilisateurs de test et de validation, et les


VMware, Inc. 49

utilisateurs de production pour chaque domaine individuel. Les administrateurs de locataire ont accès à la console d'administration d'Horizon Cloud Service. Les groupes d'utilisateurs de test, de validation et de production servent à provisionner l'accès à des applications et des postes de travail Horizon Cloud Service.

Création d'une UO Horizon Cloud Service unique pour Active DirectoryVous pouvez implémenter une UO unique pour les comptes d'ordinateurs qui sont créés par la plate-forme Horizon Cloud Service.

Une grande entreprise avec des milliers d'unités d'organisation et de groupes peut facilement disposer de centaines de milliers d'objets dans son annuaire Active Directory (AD). L'entreprise peut économiser du temps de déploiement en mettant en œuvre une UO unique pour les comptes d'ordinateurs créés par la plate-forme Horizon Cloud Service. L'UO unique évite à Horizon Cloud Service d'avoir à analyser l'intégralité de l'annuaire AD pour les objets de poste de travail virtuel et d'ordinateur de serveur Hôte de session Bureau à distance (RDSH).

Consultez le formulaire Web de configuration d'Horizon Cloud pour obtenir la liste des utilisateurs, comptes et autorisations nécessaires.

Configuration des étendues DHCP et du code d'option 74 ou configuration manuelle des agents DaaSVous devez fournir à l'équipe VMware Horizon Cloud Service un sous-réseau de services et un sous-réseau de postes de travail qui ne sont pas utilisés dans votre infrastructure, et ces sous-réseaux doivent inclure suffisamment d'adresses IP pour couvrir le nombre de postes de travail ou de serveurs Hôte de session Bureau à distance qui sont provisionnés.

La définition du code d'option 74 dans l'étendue DHCP du sous-réseau de postes de travail dirige les postes de travail et les serveurs Hôte de session Bureau à distance vers les dispositifs locataires. L'équipe de VMware Horizon Cloud Service fournit les deux adresses IP des dispositifs locataires pendant le processus de déploiement.

Tenez compte des problèmes suivants :

n Échec de la définition correcte du code d'option 74 : si cette opération n'est pas effectuée correctement, les postes de travail et les serveurs Hôte de session Bureau à distance ne peuvent pas localiser les dispositifs locataires et s'enregistrer auprès d'eux. Les utilisateurs finaux ne peuvent pas accéder aux ressources de poste de travail et d'application publiées.

n Échec de la fourniture d'un sous-réseau de postes de travail et de services unique : imaginez le sous-réseau de postes de travail et de services comme une extension de votre infrastructure locale, même s'il se trouve dans le Cloud. Si vous fournissez un sous-réseau déjà utilisé, des conflits peuvent se produire et le trafic réseau risque de ne pas circuler correctement entre Horizon Cloud Service et votre réseau.


VMware, Inc. 50

n Échec de la prise en compte du dimensionnement : si vous ne fournissez pas un sous-réseau de postes de travail comportant suffisamment d'adresses IP pour couvrir le nombre ciblé de postes de travail et de serveurs Hôte de session Bureau à distance, vous devez configurer un autre sous-réseau pour prendre en charge l'augmentation de capacité. Par exemple, si vous indiquez /24 au format CIDR pour le sous-réseau, vous obtenez exactement 252 adresses. L'ajout de sous-réseaux supplémentaires permet une extension de capacité transparente si nécessaire.

Si vous ne pouvez pas configurer l'option DHCP 74 en raison de contraintes réseau ou d'autres raisons, vous pouvez configurer manuellement l'agent DaaS pour qu'il communique avec les dispositifs locataires. L'équipe de VMware Horizon Cloud Service fournit les deux adresses IP des dispositifs locataires et configure manuellement l'agent DaaS à l'aide du fichier monitor.ini.


VMware, Inc. 51

Création d'images optimisées 5L'optimisation des images permet de s'assurer que le poste de travail virtuel ou le serveur Hôte de session Bureau à distance est correctement configuré afin d'offrir une expérience utilisateur optimale.

Vous pouvez régler les paramètres d'optimisation de manière statique ou dynamique en fonction de vos besoins, de la configuration réseau requise et des conditions. Une image non optimisée peut consommer des ressources de calcul, de réseau et de stockage inutiles, ce qui contribue potentiellement à une expérience utilisateur non satisfaisante.

Il est important de créer des images optimisées avant le déploiement d'Horizon Cloud Service et de consulter souvent et au plus tôt l'équipe de gestion des images de poste de travail pour discuter des problèmes liés ci-dessous.


n Optimisation des images de poste de travail

n Choix du nombre d'images dont vous avez besoin

n Utilisation d'images de clone traditionnel ou d'Instant Clone

n Création d'images pour les serveurs Hôte de session Bureau à distance

n Présentation des postes de travail dédiés, flottants et de session

n Choix des options graphiques 3D

n Échelonnement des mises à jour automatiques de l'antivirus

Optimisation des images de poste de travailUn modèle d'image, parfois appelé image maître ou modèle étalon, est l'image de poste de travail ou de serveur Hôte de session Bureau à distance (RDSH) de base standard fournie par Horizon Cloud Service.

Un modèle d'image est entièrement optimisé avec tous les outils VMware Tools et les agents de service de poste de travail Horizon Cloud Service qui sont requis pour la plate-forme. Il est recommandé d'installer les modules logiciels sur les modèles d'image optimisés afin de tirer parti des outils et des agents de service qui sont préinstallés et configurés conformément aux meilleures pratiques de VMware.

VMware, Inc. 52

Choix du nombre d'images dont vous avez besoinCette rubrique fournit des conseils pour déterminer le nombre d'images dont vous avez besoin pour votre environnement.

Il est préférable de conserver le plus petit nombre d'images de base possible pour limiter la complexité de maintenance. Chaque image doit être corrigée, mise à jour et conservée. La planification vous permet de choisir le nombre optimal d'images de base pour votre environnement. Votre représentant VMware Horizon Cloud Service peut vous aider à déterminer ce que les unités commerciales, telles que les services comptables, informatiques, commerciaux et juridiques, ont en commun et quelles unités commerciales doivent être en silo. Horizon Cloud Service inclut jusqu'à 10 modèles d'images avec chaque abonnement. Vous pouvez aussi convertir des images supplémentaires à partir de votre capacité de poste de travail standard. Reportez-vous à la section Description du service : VMware Horizon Cloud Service on IBM Cloud.

Envisagez également d'autres méthodes de réduction de la prolifération d'images, telles que les technologies de création de couches d'application et de virtualisation d'application. Ces technologies permettent d'abstraire l'application du poste de travail en fournissant un mécanisme de livraison dynamique et instantanée de l'application sur le poste de travail, sans installer ou mettre à jour l'application directement dans l'image. Le module d'application est mis à jour en lieu et place de l'image de poste de travail, ce qui diminue le nombre d'images à gérer.

Utilisation d'images de clone traditionnel ou d'Instant CloneVous pouvez déployer des images de poste de travail virtuel dans Horizon Cloud Service à l'aide de clones traditionnels ou d'Instant Clones.

n Clones traditionnels : également appelés clones complets, les clones traditionnels sont des copies indépendantes d'une machine virtuelle qui ne partagent rien avec la machine virtuelle parente après l'opération de clonage. Le fonctionnement et la gestion en continu d'un clone traditionnel sont généralement distincts de la machine virtuelle parente.

n Postes de travail d'Instant Clone : postes de travail pouvant être rapidement assemblés à la demande à l'aide de la technologie Instant Clone de VMware. La technologie Instant Clone permet de créer rapidement des clones de machines virtuelles identiques. Cette fonctionnalité crée une machine virtuelle en clonant une machine virtuelle parente partiellement démarrée, ce qui réduit considérablement les besoins en disque et en mémoire et le coût d'E/S du provisionnement. Le processus Instant Clone est plus rapide que la technologie précédente de clonage de postes de travail.

Pour la plupart des cas d'utilisation, les Instant Clones doivent être exploités. Les Instant Clones offrent la possibilité de gérer un groupe de postes de travail à l'aide d'une seule image maître.

Les clones traditionnels sont toujours la méthode préférée pour quelques cas d'utilisation, en particulier pour ceux qui nécessitent des graphiques 3D. Par ailleurs, vous devez utiliser un clone traditionnel avec toutes les images Hôte de session Bureau à distance.


VMware, Inc. 53

Création d'images pour les serveurs Hôte de session Bureau à distanceDans le cadre de l'offre Horizon Cloud Service, VMware fournit un serveur Hôte de session Bureau à distance (RDSH) et vous guide tout au long du cycle de vie des images de base pour un serveur RDSH.

n Le cycle de vie comprend des méthodes de mise en mode d'installation du serveur RDSH, l'installation d'applications sur celui-ci et le passage en mode de publication.

n Après le passage en mode de publication, vous pouvez transformer le serveur RDSH en image à partir de laquelle vous pouvez déployer les applications distantes que vous venez d'installer.

n Vous pouvez également utiliser des images RDSH pour fournir des postes de travail de session RDS. Les modules d'intégration avancés d'Horizon Cloud peuvent vous aider à réaliser ce processus pour deux à trois applications, afin que vous soyez en mesure d'en faire plus par vous-même.

Pour plus d'informations, reportez-vous à la feuille de données préintégrée fournie par l'équipe d'intégration.

Si vous avez des unités commerciales qui doivent avoir un accès exclusif à des applications spécifiques, telles que les services financiers ou les départements de relations humaines, ou des applications qui requièrent une ségrégation isolée, telles que SAP, il est recommandé de configurer des images RDSH séparées pour chaque service ou application afin de maintenir l'isolation nécessaire.

Présentation des postes de travail dédiés, flottants et de sessionHorizon Cloud Service prend en charge les postes de travail dédiés, flottants et de session. Les postes de travail flottants (non persistants) sont recommandés dans une implémentation d'Horizon Cloud Service, car ils nécessitent moins de temps, de maintenance et de dépenses que les autres options.

n Postes de travail dédiés (persistants) : un poste de travail virtuel est attribué aux utilisateurs la première fois qu'ils se connectent et ils utilisent le même poste de travail virtuel pour les connexions suivantes. À l'instar d'un ordinateur physique, les modifications apportées à un poste de travail persistant sont conservées avec ce poste de travail. Vous pouvez choisir de fournir des postes de travail persistants aux développeurs qui doivent installer leur propre logiciel sur leurs machines virtuelles. Toutefois, pour la plupart des cas d'utilisation, les postes de travail persistants nécessitent plus de temps de création, plus d'efforts de gestion et sont plus onéreux.

n Postes de travail flottants (non persistants) : un poste de travail virtuel est attribué aux utilisateurs chaque fois qu'ils se connectent. Les utilisateurs n'utilisent donc pas le même poste de travail virtuel pour les connexions suivantes. Lorsqu'un utilisateur se déconnecte, le poste de travail non persistant se réinitialise à un état vierge et les modifications apportées au poste de travail sont perdues. Cependant, les modifications peuvent être conservées à l'aide de la gestion des profils et de la redirection de dossiers. Pour la mise à jour et l'application de correctifs, mettez à jour l'image et transférez la mise à jour vers l'attribution de poste de travail. Pour la plupart des cas d'utilisation, les postes de travail non persistants constituent la solution la plus commode.


VMware, Inc. 54

n Postes de travail (partagés) de session : un poste de travail publié de l'hôte de session Bureau à distance, qui est partagé entre plusieurs utilisateurs. Il est également communément appelé poste de travail basé sur une session. Les postes de travail partagés doivent être verrouillés et les utilisateurs ne doivent pas être autorisés à effectuer des modifications système ou à installer des applications. Pour les modifications basées sur l'utilisateur, vous pouvez utiliser Dynamic Environment Manager et la redirection de dossiers pour conserver les paramètres. Pour les mises à jour d'image et la gestion des correctifs, vous pouvez mettre à jour l'image et transférer la mise à jour vers l'attribution de poste de travail publié de l'hôte de session Bureau à distance.

Choix des options graphiques 3DVous pouvez tirer parti de la puissance de l'accélération GPU pour n'importe quelle application sur n'importe quel périphérique en bénéficiant de l'accélération graphique 3D offerte par Soft 3D ou les stations de travail graphiques.

n Soft 3D : disponible dans les modèles de poste de travail Professionnel, Premium et Performance, ainsi qu'avec les serveurs d'applications hébergés partagés dans Horizon Cloud Service. Soft 3D fournit des graphiques à accélération logicielle et vous permet d'exécuter des applications DirectX 9 et OpenGL 2.1 sans nécessiter de GPU physique. Utilisez cette fonctionnalité pour les applications 3D moins exigeantes, comme les thèmes Windows Aero, Microsoft Office 2010 et Google Earth.

n Stations de travail graphiques : pour des besoins 3D plus élevés, notamment des applications avancées enrichies en graphiques, Horizon Cloud Service fournit des stations de travail graphiques utilisant NVIDIA GRID vGPU (accélération matérielle GPU partagée). Horizon Cloud Service apporte les performances de station de travail à des travailleurs distants et mobiles même sur des réseaux à latence élevée, à l'instar de n'importe quel autre poste de travail. Notez que les applications graphiques 3D ont généralement des exigences en bande passante différentes par rapport aux applications bureautiques traditionnelles. Travaillez en collaboration avec l'équipe VMware Horizon Cloud Service afin de définir vos exigences en bande passante spécifiques.

La licence NVIDIA et le matériel requis sont inclus dans le prix de la station de travail graphique. Pour plus d'informations, reportez-vous à la section Description du service : VMware Horizon Cloud Service on IBM Cloud. Pour plus d'informations sur NVDIA GRID avec Horizon 7, reportez-vous à la documentation d'Horizon 7 avec Blast 3D.

Échelonnement des mises à jour automatiques de l'antivirusHorizon Cloud Service n'inclut pas de solution antivirus. Vous pouvez utiliser la solution dont vous disposez déjà en obtenant des licences supplémentaires pour l'environnement Horizon Cloud Service. Toutefois, il ne s'agit pas d'une exigence Horizon Cloud Service.


VMware, Inc. 55

Si vous choisissez d'utiliser une solution antivirus sur vos postes de travail Horizon Cloud Service ou serveurs Hôte de session Bureau à distance qui met à jour les fichiers DAT, il est préférable d'échelonner les mises à jour dans votre environnement. Cela vous empêche d'utiliser toutes les ressources de votre environnement pour mettre à jour toutes vos machines virtuelles en même temps, ce qui peut entraîner une baisse des performances.

Outre l'échelonnement des mises à jour de l'antivirus, il est préférable d'utiliser une planification fixe qui permet d'éviter les mises à jour simultanées importantes, telles que la mise à jour en dehors des heures ouvrables normales ou la création d'une fenêtre de maintenance. En évitant les mises à jour simultanées volumineuses, vous évitez l'utilisation de toutes les ressources en même temps, ce qui peut ralentir les performances.


VMware, Inc. 56

Gestion des applications distantes 6Les applications distantes sont installées sur des serveurs Hôte de session Bureau à distance et fournies de manière transparente via Horizon Client ou le portail d'Horizon Cloud Service. Les utilisateurs voient une application qui semble être intégrée en mode natif à leur poste de travail local, mais qui est en fait fournie depuis le Cloud. Les applications Windows hébergées sur des serveurs Hôte de session Bureau à distance peuvent être fournies à des plates-formes autres que Windows, comme Android et iOS.

L'attribution d'applications distantes vous permet de publier des applications en utilisant des serveurs Hôte de session Bureau à distance basés sur une image RDSH, également appelées applications publiées, ou des applications hébergées sur RDSH. Pour créer une attribution d'application distante, vous sélectionnez le nombre de serveurs Hôte de session Bureau à distance à provisionner et le nombre d'utilisateurs par serveur. Lorsque vous sélectionnez des applications à attribuer à des utilisateurs, toutes les applications installées sur l'image RDSH sélectionnée sont visibles par vous. Outre la sélection des applications automatiquement découvertes, vous pouvez également définir et associer des applications distantes personnalisées à une image RDSH dans votre inventaire d'applications.

VMware, Inc. 57

Stratégies de gestion des images 7Consultez votre équipe de gestion des images au sujet du développement de bonnes pratiques en matière de gestion des profils, des correctifs et des sauvegardes. Impliquer des représentants de votre équipe de gestion des images tôt dans le processus de prise de décision et de déploiement permet de poser des questions, d'exprimer des préoccupations et de résoudre des problèmes, et ainsi d'éviter des problèmes inattendus.


n Gestion des profils

n Gestion des correctifs

n Stratégies de sauvegarde

Gestion des profilsLes profils d'utilisateur constituent une partie importante des images de poste de travail. Un profil d'utilisateur se compose des dossiers, des fichiers et des paramètres de configuration qui sont uniques à un utilisateur spécifique. La configuration des profils d'utilisateur, le choix d'attribuer des utilisateurs à des postes de travail persistants ou non persistants ou des serveurs Hôte de session Bureau à distance, et de décider quand utiliser la redirection font partie de la gestion des images.

Dans un environnement virtuel, les profils d'utilisateur sont généralement stockés sur un serveur plutôt que sur un poste de travail physique. De cette manière, les données de profil d'utilisateur suivent l'utilisateur d'un poste de travail à un autre. Lorsque vous réfléchissez à la gestion des profils dans un environnement virtuel, il est judicieux de commencer par les attributions. Horizon Cloud Service dispose d'attributions de poste de travail pour des postes de travail dédiés, flottants et basés sur une session, ainsi que des applications distantes.

VMware, Inc. 58

Type d'attribution Considérations relatives à la gestion des profils

Postes de travail de clone traditionnel, dédiés (persistants)

Un poste de travail virtuel est attribué à l'utilisateur la première fois qu'il se connecte et il utilise le même poste de travail virtuel pour les connexions suivantes. Les utilisateurs peuvent personnaliser le poste de travail virtuel et l'utiliser pour accéder à leurs documents et applications. Pour les utilisateurs disposant d'un seul poste de travail persistant, le profil d'utilisateur peut être stocké directement sur leur poste de travail. Les modifications apportées par l'utilisateur sont conservées sur le même poste de travail virtuel. Cependant, envisagez de stocker les profils d'utilisateur sur un serveur afin de conserver les modifications au cas où le poste de travail virtuel devienne corrompu ou que l'utilisateur accède également à des applications distantes.

Postes de travail d'Instant Clone, dédiés (persistants)

Cette attribution est semblable à un clone traditionnel persistant dans lequel l'utilisateur utilise le même nom d'ordinateur de poste de travail virtuel pour toutes les connexions. La différence est que le poste de travail virtuel est actualisé à un état vierge lorsque l'utilisateur se déconnecte et toutes les modifications sont perdues. Pour fournir une expérience de type persistant, le profil d'utilisateur doit être stocké sur un serveur.

Postes de travail de clone traditionnel et d'Instant Clone, flottants (non persistants)

Un nouveau poste de travail virtuel est attribué aux utilisateurs chaque fois qu'ils ouvrent une session. Ils n'utilisent donc pas nécessairement le même poste de travail virtuel pour les connexions suivantes. Un utilisateur ne peut pas personnaliser un poste de travail spécifique ou y ajouter des documents ou des applications, car le disque est actualisé à un état vierge lorsque l'utilisateur se déconnecte et toutes les modifications sont perdues. Cependant, les modifications peuvent être conservées en stockant le profil d'utilisateur sur un serveur. Pour les utilisateurs disposant de plusieurs postes de travail ou qui accèdent à des applications distantes, le profil d'utilisateur les suit et est disponible à chaque accès au poste de travail ou à l'application distante afin que l'expérience de l'utilisateur reste cohérente.

Postes de travail de session, de clone traditionnel (partagés) et applications distantes

Les utilisateurs sont connectés au serveur RDSH avec le plus petit nombre de connexions, de sorte qu'ils n'utilisent pas nécessairement le même serveur pour les connexions suivantes. Le serveur RDSH doit être verrouillé et les utilisateurs ne doivent pas être autorisés à apporter des modifications au système ou à installer des applications. Pour conserver les modifications et fournir une expérience utilisateur cohérente, stockez le profil d'utilisateur sur un serveur.

Choix des éléments à redirigerVous pouvez offrir une expérience utilisateur de type persistant sur des postes de travail non persistants en utilisant la redirection avec des profils d'utilisateur. Les utilisateurs obtiennent les mêmes paramètres et fichiers d'application lorsqu'ils se connectent, quel que soit le poste de travail non persistant qu'ils utilisent. Avec la redirection, vos utilisateurs apprécient les avantages des postes de travail persistants au coût des postes de travail non persistants.

Pour utiliser la redirection, identifiez les ressources dont vos utilisateurs ont besoin pour effectuer leur travail, déterminez l'emplacement dans lequel vos utilisateurs enregistrent leur travail et déterminez la part de leur travail que vous souhaitez rediriger. Par exemple, vous pouvez choisir de rediriger tout ce que vos utilisateurs enregistrent sur leurs Bureaux ou dans le dossier Mes documents vers un partage de fichiers. Accorder aux utilisateurs l'accès au partage de fichiers rend leur travail toujours disponible,


VMware, Inc. 59

quelle que soit l'attribution de poste de travail ou l'application distante qu'ils utilisent. Vous pouvez également rediriger des arrière-plans, des économiseurs d'écran, des configurations pour Outlook, etc. Une autre option consiste à former vos utilisateurs à enregistrer eux-mêmes tout leur travail dans un partage de fichiers. Ce sont alors eux qui effectuent le travail de redirection.

Choix de la méthode de redirectionVMware Dynamic Environment Manager est un mode efficace de gestion de la redirection.

n Dynamic Environment Manager est le composant critique de JMP qui prend en charge l'informatique centrée sur l'utilisateur et traite de la gestion des applications et des utilisateurs de bout en bout.

n Vous pouvez configurer Dynamic Environment Manager pour qu'il fonctionne avec Horizon Cloud Service afin de vous aider à gérer les personas des utilisateurs entre les périphériques et les emplacements.

n Au lieu de se concentrer sur le périphérique de l'utilisateur, Dynamic Environment Manager se concentre sur le contexte de l'utilisateur, tel que le profil de l'utilisateur, les paramètres de personnalisation, les paramètres d'application, les paramètres de stratégie contextuelle, les droits de l'utilisateur, la gestion des licences et les paramètres de génération de rapports.

Choix de l'emplacement de redirectionLorsque vous utilisez la redirection pour stocker des profils d'utilisateur, ceux-ci sont redirigés vers un nouvel emplacement permanent.

Vous disposez de trois emplacements possibles pour rediriger les informations de profil d'utilisateur :

Option Description

Rediriger vers le même emplacement que les postes de travail virtuels et les serveurs Hôte de session Bureau à distance (recommandé)

Vous pouvez rediriger le profil d'utilisateur vers un serveur de fichiers dans le même emplacement que les postes de travail virtuels et les serveurs Hôte de session Bureau à distance à l'aide d'un serveur d'utilitaires. Les données de profil ne quittent jamais votre locataire Horizon Cloud Service. Pour des raisons de performance et de sécurité, cette option est recommandée. Lors de l'utilisation de Dynamic Environment Manager avec Horizon Cloud Service, un serveur d'utilitaires est requis pour stocker le profil d'utilisateur.

Rediriger vers une instance d'IaaS (infrastructure as a service)

Vous pouvez rediriger des profils d'utilisateur vers un serveur de fichiers dans le même centre de données physique que les postes de travail virtuels et les serveurs Hôte de session Bureau à distance. Ces ressources peuvent se trouver dans un centre de données virtuel distinct utilisant IaaS proposé par le fournisseur Horizon Cloud Service. Un tunnel IPSec peut être utilisé pour connecter les deux centres de données virtuels.

Rediriger sur le VPN Vous pouvez rediriger le profil d'utilisateur de votre VPN vers un serveur de fichiers dans votre centre de données principal. La latence et la bande passante sont des facteurs déterminants de la redirection vers votre centre de données.


VMware, Inc. 60

Gestion des correctifsIl est important d'établir de bonnes pratiques de gestion des correctifs.

Vous devrez peut-être modifier votre processus de gestion des correctifs existant en fonction du type d'attribution que vous utilisez :

Type d'attribution Processus de gestion des correctifs

Postes de travail de clone traditionnel, dédiés (persistants)

Vous devez transférer les mises à jour d'application vers chaque machine virtuelle comme vous le feriez pour un poste de travail physique ou utiliser un utilitaire tiers, et également corriger l'image elle-même.

Postes de travail d'Instant Clone, dédiés (persistants)

Comme ces attributions ne conservent pas les modifications entre les sessions, les correctifs d'image et les mises à jour d'application sont simples. Corrigez l'image, puis actualisez l'attribution en transférant ou en réattribuant l'image. Pour corriger ou mettre à jour une application installée sur l'image, mettez à jour l'application dans l'image, puis transférez ou attribuez l'image.

Postes de travail de clone traditionnel et d'Instant Clone, flottants (non persistants)

Ces postes de travail ne conservent pas les modifications entre les sessions, de sorte que les correctifs d'image et les mises à jour d'application sont simples. Corrigez l'image, puis actualisez l'attribution en transférant ou en réattribuant l'image. Pour corriger ou mettre à jour une application installée sur l'image, mettez à jour l'application dans l'image, puis transférez ou attribuez l'image.

Postes de travail de session, de clone traditionnel (partagés) et applications distantes

Corrigez l'image, puis actualisez l'attribution en transférant l'image. Pour corriger ou mettre à jour une application installée sur l'image, mettez à jour l'application dans l'image, puis transférez l'image.

Désactivation des fonctionnalités de mise à jour automatiqueDe nombreuses applications disposent d'une fonctionnalité de mise à jour automatique qui met régulièrement à jour l'application.

Ces mises à jour automatiques sont perdues lorsqu'utilisateur se déconnecte d'un poste de travail non persistant de clone traditionnel ou d'Instant Clone ou d'un poste de travail persistant d'Instant Clone. Il est recommandé de désactiver cette fonctionnalité pour ces types d'attributions de poste de travail.

Test des correctifs et des mises à jour sur des pools de sous-ensembleLors de l'introduction d'une modification majeure, telle que des mises à niveau volumineuses, des installations, de nouvelles applications, des mises à jour d'application ou des Service Packs, il est recommandé de commencer par tester la modification sur une attribution de poste de travail ou d'application de sous-ensemble. Créez une copie de votre image afin que si les modifications provoquent des problèmes, vous puissiez revenir à l'image d'origine.

Dupliquez une image dans la console d'administration d'Horizon Cloud Service. Ensuite, appliquez le Service Pack, la mise à niveau ou toute autre modification majeure apportée à la copie. Si des problèmes se produisent, vous pouvez dupliquer à nouveau l'image d'origine. Si la modification réussit, vous pouvez appliquer les modifications à vos affectations de production principales.


VMware, Inc. 61

Stratégies de sauvegardeIl est important d'établir de bonnes pratiques de sauvegarde. Incluez les représentants de vos équipes de sauvegarde et de postes de travail dans la prise de décision et le déploiement dès le début pour répondre aux questions, préoccupations et problèmes.

Prise en charge de nombreuses sauvegardes d'imagesHorizon Cloud Service on IBM Cloud vous permet de conserver deux sauvegardes d'une image particulière. Si vous souhaitez plus de deux sauvegardes, vous devez gérer manuellement les sauvegardes suivantes. Il est recommandé de créer un pool de gestion avec plusieurs machines virtuelles pour copier, sauvegarder, tester et vérifier la réussite lorsque vous apportez des modifications à l'image.

Sauvegarde avant des modificationsAvant d'apporter des modifications à une image, il est recommandé de créer une sauvegarde afin que si un élément se bloque lorsque vous apportez des modifications, vous puissiez revenir à l'image précédente. Créez une image de base, copiez-la plusieurs fois et modifiez une copie pour chaque unité commerciale, par exemple, une copie pour votre service financier, une autre pour le service des opérations, etc. Ensuite, sauvegardez toutes les images avant la modification afin de pouvoir les restaurer si nécessaire.

Test systématique des modificationsToute modification apportée à votre infrastructure, qu'il s'agisse de correctifs, de mises à niveau, d'ajouts ou de soustractions, affecte l'infrastructure, parfois de manière imprévue. Les ajouts peuvent endommager le système et altérer l'image, et les nouveaux correctifs peuvent entrer en conflit avec des applications existantes sur les postes de travail. Par conséquent, il est important de procéder à un test chaque fois que vous apportez une modification. Pour vérifier que vos modifications n'ont pas eu d'effet négatif, modifiez et testez un petit sous-ensemble de postes de travail avant d'appliquer la modification à toutes vos attributions de production. Les tests d'acceptation des utilisateurs peuvent être inclus comme une des étapes de votre processus de test.

Sauvegarde après des modifications réussiesEffectuez de nouveau une sauvegarde après avoir apporté des modifications à une image pour que, si un problème survient après une modification ultérieure, l'image puisse être réintégrée à l'avenir.

Pour sauvegarder des images, vous pouvez configurer une attribution de gestion spécifique pour les sauvegardes et les copies d'images, et ajouter des machines virtuelles au pool afin de les utiliser à des fins de test et de sauvegarde. La restauration est alors une question de retour à une autre machine virtuelle dans l'attribution de gestion, qui est basée sur une image précédemment réussie.


VMware, Inc. 62

Considérations de déploiement des locataires …...Description du service 8 Architecture du...

Documents

Transcript of Considérations de déploiement des locataires …...Description du service 8 Architecture du...