BIG-IP LTM+APMPCoIP Proxy

BIG-IP Version 11.4.1VM Horizon View 5.2

iApp Template:F5.vmware_view.v1.0.0rc4

2014/2/3

1

安全で便利な VDI の実現

AD/DNS/DHCP

　仮想デスクトップ

View Agent

vCenter

View Composer

ConnectionServer

Fire

wal

l

Fire

wal

l

BIG-IP APM

View Client

View Client

BIG-IP APM• SSL-VPN 機能（ PCoIP/RDP に対応）• 認証サーバとの連携による SSO• 他システムへのアクセスを制限• DTLS （ UDP) によるネットワーク遅延の緩和• Connection Server へのバランシング及び

モニタリングによるダウンタイムを最小化

■ 課題• 社外ネットワークからのアクセスに制限• 認証回数の増加によるユーザの手間• 遅延によるサービスレベルの低下

■ F5の導入効果• 安全なリモートアクセス• シングルサインオンによる利便性向上• パフォーマンスと信頼性を最大化

2

PCoIP ProxyIndustry first to offer full proxy support for PCoIP

PC-over-IP (PCoIP) 　をフルプロキシする PCoIP Proxy 機能を実装し、 VMware Horizon View アーキテクチャをシンプルに構成しセキュリティとスケーラビリティの向上を実現キーポイント• PC-over-IP プロトコルをフルプロキシサポート• VMware Horizon View アーキテクチャをシンプルに• セキュリティ強化とスケーラビリティに貢献• 業界で最初の機能実装• 他の VDI 接続もサポート

・注意事項RDPプロトコルUSBリダイレクトBlastは PCoIPでは利用できない

3

PCoIP Proxy – Simplify Your Architecture

• F5 Access Policy Manager (APM) で PCoIP プロキシを実現• 1 対 1 の設置が必要だっ

た Security サーバとConnection サーバのひも付きを分離• ICSA Labs 認定取得のハ

イパフォーマンスアクセスセキュリティ• アプリケーション、ロ

ケーションを問わないユニファイドグローバルアクセス

Before After

4

iApp テンプレートのインポート

F5 DevCental から iApp Template f5.vmware_view.v1.0.0rc4 をダウンロードしインポートhttps://devcentral.f5.com/

本 iApp は LTM モジュールが必須5

iApp テンプレートから設定

iApp Application Services から Create をクリック

6

iApp テンプレートから設定

NAME にポリシー名を入力Template のプルダウンメニューから f5.vmware_view.v1.0.0rc4 を選択

7

iApp テンプレートから設定

Do you want to deploy BIG-IP Access Policy Manager? のプルダウンメニューからYes, deploy BIG-IP Access Policy Manager を選択

8

iApp テンプレートから設定

NetBIOS や ActiveDirectory 関連の設定を入力既に登録されている場合はプルダウンメニューから指定可能

Firewall 等で GlobalIP アドレスと PrivateIP アドレスを NATされている場合 GlobalIP アドレスを入力

View Client でアクセス時に指定したメッセージを表示可能。ただし今回は設定しない

9

iApp テンプレートから設定

Connection Server がデフォルト https で処理となる為、 SSL bridging を指定

10

iApp テンプレートから設定Virtual Server の IP アドレスを入力

Virtual Server の FQDN を入力

Connection Server の IP アドレスを入力

Connection Server のヘルスチェックを設定

11

仮想デスクトップ表示までのシーケンス

ViewClient のログオン ActiveDirectory 認証

Firewall で NAT 利用時に ConnectionServer に引き継ぐ GlobalIP をア

サイン 仮想デスクトップ表示

12

Connection Server 設定

対象の Connection Server の View 接続サーバ設定を編集で本項目のすべてのチェックボックスを外す

13

Virtual Server

Connection サーバアクセス用 on port 443 ( アクセスポリシーや SSL 処理のプロファイルを関連付けます )

　 PCOIP アクセス用 on port 4172 port 80 は port 443 リダイレクト用

14

Appendix1(iApp テンプレート設定後の再設定 )

iApp にて設定した内容で再設定を行う場合は Reconfigure から設定

15

Appendix2(iApp テンプレート設定後のパラメータ調整 )

iApp を使用して設定した場合、デフォルトではパラメータ等は iApp からのみの変更となるがStrict Updates のチェックボックスを外すとパラメータを個別に変更可能ただし、 Reconfigure から設定を行うと上書きされる為、注意が必要。

16

Appendix3-1( ブラウザからのアクセス )

ViewClient からのアクセスとシーケンスを分けることでブラウザからアクセスさせることも可能ブラウザからアクセスする場合は EdgeClient 動作可能端末であればエンドポイントチェックが可能

17

View クライアントからそのままアクセス

もしくは、 ブラウザでログオン後、Webtop のリンクをクリックしてView クライアント起動

Appendix3-2( ブラウザからのアクセス )

18

HTML5 対応ブラウザでログオン後、Webtop のリンクをクリック

Appendix3-3(HTML5 対応ブラウザからのアクセス )

1. 11.4.1HF2 にて Horizon View デスクトップへの HTML アクセスに対応 (HTML5 対応ブラウザのみ )2. Horizon View Client 、 BIG-IP Edgeclient のインストール不要でデスクトップにアクセス可能3. PCoIP Proxy では無い為、 SSL 処理を BIG-IP/View Connection Server にて実施する必要あり、　　 BIG-IP ではバックエンド SSL も必要4. TCP ベースの通信となり暗号化も PCoIP では無い為、速度は PCoIP の方が高いと思われる

BIG-IP Version 11.4.1HF2VM Horizon View 5.3iApp Template:F5.vmware_view.v1.0.0rc7にて確認設定は Appendix3-1 と同じ 19

PCoIP proxy の場合、 App tunnel では無く、Remote Desktop という部類に分けられます。 Remote Desktop では CCU( 同時接続ユーザ ) ライセンスは不要となります。※11.4 ～

• 11.4 で CCU が必要な項目は、1. Full Network Access(SSL-VPN)2. App Tunnel3. Portal Access(Reverse proxy) - Web-based app link (OWA,SharePoint,XenApp 等 ) - Citrix portal modeの 3 つとなります。

Appendix4( 同時接続ユーザライセンス )

20

CCU( 同時ユーザ ) ライセンスは不要だが、筐体により最大同時セッション数が異なるため考慮する必要がある

ハードモデルでの目安 500 セッションまで： BIG-IP 20005000 セッションまで： BIG-IP 2200

VE 版の目安　 200 セッションまで： 200Mbps1000 セッションまで： 1Gbps1000 セッション以上： 3 or 5Gbps最大 2500 セッション

※ 他モジュールと組み合わせる場合は性能劣化に注意

Appendix5( 最大同時セッション数 )

21