Upload
hiro-yama
View
1.738
Download
7
Embed Size (px)
DESCRIPTION
BIG-IP PCoIPプロキシの機能説明資料 VMware Horizon View/仮想デスクトップへのリモートアクセス環境を提供できる
Citation preview
BIG-IP LTM+APMPCoIP Proxy
BIG-IP Version 11.4.1VM Horizon View 5.2
iApp Template:F5.vmware_view.v1.0.0rc4
2014/2/3
1
安全で便利な VDI の実現
AD/DNS/DHCP
仮想デスクトップ
View Agent
vCenter
View Composer
ConnectionServer
Fire
wal
l
Fire
wal
l
BIG-IP APM
View Client
View Client
BIG-IP APM• SSL-VPN 機能( PCoIP/RDP に対応)• 認証サーバとの連携による SSO• 他システムへのアクセスを制限• DTLS ( UDP) によるネットワーク遅延の緩和• Connection Server へのバランシング及び
モニタリングによるダウンタイムを最小化
■ 課題• 社外ネットワークからのアクセスに制限• 認証回数の増加によるユーザの手間• 遅延によるサービスレベルの低下
■ F5の導入効果• 安全なリモートアクセス• シングルサインオンによる利便性向上• パフォーマンスと信頼性を最大化
2
PCoIP ProxyIndustry first to offer full proxy support for PCoIP
PC-over-IP (PCoIP) をフルプロキシする PCoIP Proxy 機能を実装し、 VMware Horizon View アーキテクチャをシンプルに構成しセキュリティとスケーラビリティの向上を実現キーポイント• PC-over-IP プロトコルをフルプロキシサポート• VMware Horizon View アーキテクチャをシンプルに• セキュリティ強化とスケーラビリティに貢献• 業界で最初の機能実装• 他の VDI 接続もサポート
・注意事項RDPプロトコルUSBリダイレクトBlastは PCoIPでは利用できない
3
PCoIP Proxy – Simplify Your Architecture
• F5 Access Policy Manager (APM) で PCoIP プロキシを実現• 1 対 1 の設置が必要だっ
た Security サーバとConnection サーバのひも付きを分離• ICSA Labs 認定取得のハ
イパフォーマンスアクセスセキュリティ• アプリケーション、ロ
ケーションを問わないユニファイドグローバルアクセス
Before After
4
iApp テンプレートのインポート
F5 DevCental から iApp Template f5.vmware_view.v1.0.0rc4 をダウンロードしインポートhttps://devcentral.f5.com/
本 iApp は LTM モジュールが必須5
iApp テンプレートから設定
iApp Application Services から Create をクリック
6
iApp テンプレートから設定
NAME にポリシー名を入力Template のプルダウンメニューから f5.vmware_view.v1.0.0rc4 を選択
7
iApp テンプレートから設定
Do you want to deploy BIG-IP Access Policy Manager? のプルダウンメニューからYes, deploy BIG-IP Access Policy Manager を選択
8
iApp テンプレートから設定
NetBIOS や ActiveDirectory 関連の設定を入力既に登録されている場合はプルダウンメニューから指定可能
Firewall 等で GlobalIP アドレスと PrivateIP アドレスを NATされている場合 GlobalIP アドレスを入力
View Client でアクセス時に指定したメッセージを表示可能。ただし今回は設定しない
9
iApp テンプレートから設定
Connection Server がデフォルト https で処理となる為、 SSL bridging を指定
10
iApp テンプレートから設定Virtual Server の IP アドレスを入力
Virtual Server の FQDN を入力
Connection Server の IP アドレスを入力
Connection Server のヘルスチェックを設定
11
仮想デスクトップ表示までのシーケンス
ViewClient のログオン ActiveDirectory 認証
Firewall で NAT 利用時に ConnectionServer に引き継ぐ GlobalIP をア
サイン 仮想デスクトップ表示
12
Connection Server 設定
対象の Connection Server の View 接続サーバ設定を編集で本項目のすべてのチェックボックスを外す
13
Virtual Server
Connection サーバアクセス用 on port 443 ( アクセスポリシーや SSL 処理のプロファイルを関連付けます )
PCOIP アクセス用 on port 4172 port 80 は port 443 リダイレクト用
14
Appendix1(iApp テンプレート設定後の再設定 )
iApp にて設定した内容で再設定を行う場合は Reconfigure から設定
15
Appendix2(iApp テンプレート設定後のパラメータ調整 )
iApp を使用して設定した場合、デフォルトではパラメータ等は iApp からのみの変更となるがStrict Updates のチェックボックスを外すとパラメータを個別に変更可能ただし、 Reconfigure から設定を行うと上書きされる為、注意が必要。
16
Appendix3-1( ブラウザからのアクセス )
ViewClient からのアクセスとシーケンスを分けることでブラウザからアクセスさせることも可能ブラウザからアクセスする場合は EdgeClient 動作可能端末であればエンドポイントチェックが可能
17
View クライアントからそのままアクセス
もしくは、 ブラウザでログオン後、Webtop のリンクをクリックしてView クライアント起動
Appendix3-2( ブラウザからのアクセス )
18
HTML5 対応ブラウザでログオン後、Webtop のリンクをクリック
Appendix3-3(HTML5 対応ブラウザからのアクセス )
1. 11.4.1HF2 にて Horizon View デスクトップへの HTML アクセスに対応 (HTML5 対応ブラウザのみ )2. Horizon View Client 、 BIG-IP Edgeclient のインストール不要でデスクトップにアクセス可能3. PCoIP Proxy では無い為、 SSL 処理を BIG-IP/View Connection Server にて実施する必要あり、 BIG-IP ではバックエンド SSL も必要4. TCP ベースの通信となり暗号化も PCoIP では無い為、速度は PCoIP の方が高いと思われる
BIG-IP Version 11.4.1HF2VM Horizon View 5.3iApp Template:F5.vmware_view.v1.0.0rc7にて確認設定は Appendix3-1 と同じ 19
PCoIP proxy の場合、 App tunnel では無く、Remote Desktop という部類に分けられます。 Remote Desktop では CCU( 同時接続ユーザ ) ライセンスは不要となります。※11.4 ~
• 11.4 で CCU が必要な項目は、1. Full Network Access(SSL-VPN)2. App Tunnel3. Portal Access(Reverse proxy) - Web-based app link (OWA,SharePoint,XenApp 等 ) - Citrix portal modeの 3 つとなります。
Appendix4( 同時接続ユーザライセンス )
20
CCU( 同時ユーザ ) ライセンスは不要だが、筐体により最大同時セッション数が異なるため考慮する必要がある
ハードモデルでの目安 500 セッションまで: BIG-IP 20005000 セッションまで: BIG-IP 2200
VE 版の目安 200 セッションまで: 200Mbps1000 セッションまで: 1Gbps1000 セッション以上: 3 or 5Gbps最大 2500 セッション
※ 他モジュールと組み合わせる場合は性能劣化に注意
Appendix5( 最大同時セッション数 )
21