上文“VMware Horizon View 7 安裝部署”已經安裝和配置好Horizon View 7,並且實現內部正常訪問。如需從外部訪問,則還需要安裝安全服務器(Security Server)。
安全服務器是一個運行部分View Connection Server功能的特殊實例,在Internet和內部網絡之間提供額外的安全保護層。一般位於DMZ內,充當受信任網絡中的連接代理主機。每檯安全服務器均與一個View Connection Server實例配對,並將所有流量轉發給該實例。您可以將多個安全服務器與一個連接服務器進行配對。這樣的設計能保護View Connection Server實例免受公共 Internet的威脅,並強制所有無保護的會話請求經過View安全服務器傳輸,從而提供額外的安全保護層。當遠程用戶連接安全服務器時,他們必須成功通過身份驗證,纔可以訪問 View桌面。
基於DMZ 的安全服務器部署要求打開防火牆上的一些端口,以允許客戶端與DMZ內的Security Server進行連接。您還需要配置端口,以供內部網絡中的Security Server與Connection Server 實例通信使用。具體需開放的端口,請參考VMware View 端口和網絡連接要求 (2076030)
注意:安全服務器由於需要暴露在公網,所以建議不要加入域,同時建議先安裝好最新補丁,防止系統受到病毒侵害和網絡衝擊。另外,安全服務器上如果已經安裝了IIS服務,請在安裝View Connection Server安全角色之前卸載。
一、網絡拓撲及防火牆規則
防火牆規則:
在外部防火牆上,需要NAT端口443(HTTPS)、8443(Blast for HTML access)、4172(PCoIP)到安全服務器。
端口映射:
安全服務器網絡拓撲結構如下圖:
當有多臺安全服務器和連接服務器,由負載均衡實現高可用時,拓撲圖如下:
防火牆拓撲如下:
遠程用戶連接安全服務器時,他們必須成功通過身份驗證,纔可以訪問 View 桌面。在這種拓撲結構中,DMZ 兩端都實施了合適的防火牆規則,這種結構適用於通過 Internet 上的客戶端設備來訪問 View 桌面。
可以爲每個 View Connection Server 實例連接多個Security Server。也可以將 DMZ 部署與標準部署結合使用,以便支持內部用戶和外部用戶訪問。
二、安裝安全服務器
1、生成配對密碼
在連接服務器上,打開控制檯並登錄。View配置-->服務器,點擊連接服務器-->更多命令,指定安全服務器配對密碼
輸入配對密碼,確定。可以根據需要修改密碼有效期
2、在安全服務器上,安裝Security Server
雙擊開始安裝,安裝文件名爲:VMware-viewconnectionserver-x86_64-7.2.0-5735293.exe
接受許可協議,下一步
確定安裝路徑,下一步
選擇安全服務器,下一步
輸入連接服務器的主機名或IP地址(內部),下一步
輸入剛生成的配對密碼,下一步
輸入外部連接使用的外部域名和公網IP地址,URL必須包含協議、域名或IP地址以及端口號。
自動配置防火牆,下一步
點擊安裝,開始安裝
安裝完成。
安全服務器將在Windows系統註冊以下服務
此時,再打開連接服務器的View配置-->服務器-->安全服務器,即可看到剛安裝的實例。
點擊編輯,可以修改安全服務器(外部)相關URL值
點擊連接服務器,選擇編輯,可以修改連接服務器(內部)相關URL值
三、客戶端連接
1、瀏覽器客戶端連接
打開瀏覽器,輸入安全服務器地址並回車,如下圖
點擊VMware Horizon HTML Access,並勾選總是使用HTML訪問。在彈出的頁面輸入用戶名和密碼
點擊登錄,即可看到虛擬桌面池
雙擊Win10桌面池,即可登錄Win10系統
2、CentOS客戶端連接
在官方網站下載VMware-Horizon-Client-4.5.0-5650368.x64.bundle,並授於執行權限(chmod +x),默認安裝(執行./VMware-...)即可。
打開VMware Horizon Client,點周Add Server。輸入安全服務器上設置的外部URL地址
點擊連接,會彈出不信任的連接警告,選擇不安全連接即可(安全服務器未申請證書)
輸入用戶名和密碼,點擊OK
驗證通過後,即可看到上篇文章安裝和部署時新建的桌面池
雙擊打開,即可登錄Win10
3、IOS客戶端連接
從蘋果應用商店下載和安裝VMware Horizon Client
安裝安全服務器證書(需要從外部CA申請證書,略過)
點擊打開Horizon,輸入服務器地址,點擊添加服務器
彈出不受信任的證書,點擊繼續
輸入用戶名和密碼,選擇正確的域。登錄
登錄成功後,即可看到Win10桌面池
點擊Win10桌面池即可登錄Win10系統
點擊手機屏幕中間的圓點,可以調出鍵盤,斷開連接等功能鍵。
按住左邊的按鍵向右划動,可以查看所有程序、我的文件等菜單
點擊所有程序,可以啓動需要的程序
點擊我的文件,可以打開需要的文檔
參考:https://www.virtuallyboring.com/vmware-horizon-view-7-setup-remote-access-security-server/
四、發佈物理桌面
1、安裝view agent客戶端
在物理PC上(Win7_x86),安裝view agent客戶端,安裝文件:VMware-viewagent-7.2.0-5748532.exe
雙擊安裝程序,開始安裝。下一步
接受許可協議,下一步
選擇通信協議IPv4,下一步
選擇要安裝的程序功能,下一步
輸入連接服務器IP地址和管理員賬號密碼,下一步,開始安裝
安裝完成,要求重啓計算機
2、配置桌面池
登錄連接服務器控制檯,目錄-->桌面池,點擊添加。
選擇手動桌面池,下一步
默認選擇專用,下一步
選擇其他源(物理計算機),下一步
輸入桌面池ID和顯示名稱,下一步
默認,勾選HTML Access,下一步
勾選安裝view agent時註冊的客戶端,下一步
確認配置信息,並勾選(此嚮導完成後授權用戶,可選)。
點擊完成,即完成了手動桌面池的配置。
在彈出的授權窗口,點擊添加,輸入需要添加的用戶或組,選擇搜索。確定完成即可。
3、客戶端登錄測試
從外網打開瀏覽器,輸入安全服務器外網地址,登錄。即可看到剛創建的桌面池(物理主機測試)