经常有朋友问我,如果虚拟桌面中"安全服务器"或"连接服务器"出现问题怎么办,怎么为VMware安全服务器与连接服务器配置负载均衡。如果虚拟桌面数量较多,单位网络规模较大的时候,可以使用专业的网络负载均衡设备(如图1-0所示);如果单位网络较小,并且预算有限时,可以使用Windows Server 自带的NLB(网络负载均衡)来实现(如图1-1所示),本文将介绍这方面的内容。

在正常的规划设计中,从Internet到单位内部虚拟桌面的网络拓扑如图1-0所示。

图1-0 使用专业的网络负载均衡设备

在本节的操作中,将分别为View安全服务器、连接服务器配置网络负载均衡(NLB),并通过防火墙发布出去(在本文的示例中,防火墙是"单点"故障点,如果采用Forefront TMG作为防火墙,可以组成Forefront TMG的阵列提供冗余)。这样,无论是在局域网内使用View连接服务器,还是在Internet中使用View安全服务器,都有冗余。整个拓扑如图1-1所示。

图1-1 View 7的NLB网络拓扑

其中Internet、View安全服务器、View连接服务器等效示意图如图1-2所示。

图1-2 逻辑等效

在图1-2中,两台View连接服务器及两台View安全服务器分别组成NLB(网络负载均衡)群集,其中两台View安全服务器组成NLB之后群集对外提供的IP地址是172.18.96.55,在这里充当防火墙的是Forefront TMG,在转发View安全服务器的端口时,转发的目标地址即是View安全服务器NBL群集的IP地址172.18.96.55,由NLB再决定是由这两台View安全服务器中的那一台提供服务;而View安全服务器再把外网的View桌面连接请求转发到由两台View连接服务器(一台是View连接服务器、一台是副本服务器)组成的NLB群集IP地址172.18.96.50,再则群集决定转发到这两台View连接服务器中的一台。在这个拓扑中,除了Forefront TMG防火墙是单点外,从Internet到View安全服务器、连接服务器都有冗余。而局域网中则是直接访问View连接服务器,所以局域网中亦有冗余。

在本节的示例中,假设View连接服务器、View副本服务器、两台View安全服务器都已经参照图1-2安装配置完成,各个View连接服务器、安全服务器、群集的地址、对外域名如表1-1所示。

在下面的示例中,我们将介绍在View连接服务器、安全服务器配置Windows网络负载均衡的方法,以及对应的View Administrator及安全服务器的配置。我们不介绍View安全服务器、连接服务器的安装。在下面的示例中,View连接服务器、View安全服务器都安装在Windows Server 2008 R2企业版中。


1.1 第一台View连接服务器的安装与配置


在本案例中,将配置两台View连接服务器,其中第一台是View连接服务器,另一台是View连接服务器的"副本"服务器,这两台服务器将保持同步,只要任意一台服务器在线,即可保证View桌面的使用(局域网中)。假设View连接服务器、View副本服务器已经安装完成。

首先在View连接服务器中,安装"网络负载平衡"功能,并创建NLB群集。主要步骤如下。

(1)打开"服务器管理器",右击"功能"选择"添加功能",或者在右侧窗格中单击"添加功能"链接,在"选择功能"对话框中,单击并选中"网络负载平衡",如图1-1-4所示。

图1-1-4 网络负载平衡

(2)在"确认安装选择"对话框单击"安装"按钮。在安装完成后,单击"关闭"按钮。

在安装完"网络负载平衡"之后,从"管理工具"中运行"网络负载平衡管理器",之后创建群集,步骤如下。

(1)在"网络负载平衡管理器"对话框中,右击"网络负载平衡群集",在弹出的快捷菜单中选择"新建群集",如图1-1-8所示。

图1-1-8 新建群集

(2)在"新建群集:连接"对话框中,在"主机"中输入第一个群集主机的IP地址,然后单击"连接"按钮,在"可用于配置新群集的接口"列表中列出了主机IP地址之后,之后单击"下一步"按钮,如图1-1-9所示。

图1-1-9 新群集

(3)在"新群集:主机参数"中,在"优先级"下拉列表中选择单一主机标识符,对于群集中第一个节点主机,默认选择1,如图1-1-10所示。

图1-1-10 优先级

(4)在"群集IP地址"对话框,单击"添加"按钮,在弹出的对话框中,输入规划的群集NLB的IP地址,在本示例中为172.18.96.50,子网掩码为255.255.255.0,如图1-1-11所示。

图1-1-11 添加群集IP地址

(5)在"群集参数"对话框中,在"完整Internet名称",输入规划的View连接服务器的域名,在本示例中为vcs.heinfo.edu.cn,并且你也需要在域DNS中添加vcs的A记录,并指向群集IP地址172.18.96.50,在"群集操作模式"中,选择"多播",如图1-1-12所示。

图1-1-12 群集参数

(6)在"新群集:端口规则"对话框,定义规则描述,在此选择默认值。

(7)创建群集之后,返回到网络负载平衡管理器,如图1-1-14所示。此时群集中只有一台主机。

图1-1-14 网络负载平衡管理器

(8)执行ipconfig,可以看到当前网络已经添加了群集IP地址,如图1-1-15所示。此时除了有172.18.96.51这个原来的IP地址,还添加并绑定了群集IP地址172.18.96.50。同时使用ping vcs.heinfo.edu.cn命令,查看是否解析正确。

图1-1-15 群集IP地址已经添加

(9)打开"本地连接"属性,可以看到,当前网络已经添加了"网络负载平衡(NLB)"服务,如图1-1-16所示。

图1-1-16 绑定并添加了NLB服务


1.2 为View副本服务器配置NLB


接下来在第二台View连接服务器(安装了View副本服务器的计算机)上,安装NLB并加入现有阵列,主要步骤如下。

(1)参照上一节的步骤,安装"网络负载平衡功能"。在安装网络负载平衡功能完成之后,从"管理工具"中执行"网络负载平衡管理器",右击"网络负载平衡管理器",在弹出的快捷菜单中选择"连接到现存的",如图1-2-3所示。

图1-2-3 连接到现存

(5)在"连接到现有群集:连接"对话框中,在"主机"中输入群集中第一个主机的IP地址172.18.96.51,然后单击"连接"按钮,当主机出现在"群集"列表之后单击"完成"按钮,如图1-2-4所示。

图1-2-4 连接到现有群集

(6)在连接到现有群集之后,右击群集名称,在本示例中为vcs.heinfo.edu.cn(172.18.96.50),右击,在弹出的快捷菜单中选择"添加主机到群集",如图1-2-5所示。

图1-2-5 添加主机到群集

(7)在"将主机添加到群集:连接"对话框中,输入第2台主机的IP地址172.18.96.52,然后单击"连接"按钮,之后单击"下一步"按钮,如图1-2-6所示。

图1-2-6 将主机添加到群集

(8)在"将主机添加到群集:主机参数"中,优先级选择"2"。

(9)在"将主机添加到群集:端口规则"对话框,单击"完成"按钮。

(10)刚添加之后,新添加的主机状态为"挂起"。之后状态为"己聚合",如图1-2-10所示,表示配置完成。

图1-2-10 配置完成


1.3 配置View连接服务器


等第一台、第二台View连接服务器重新启动,并且View连接服务器相关服务都启动之后,登录View Administrator,在此,你即可以登录第一台View连接服务器(登录地址https://172.18.96.51/admin),也可以登录第二台View连接服务器(副本服务器,登录地址https://172.18.96.52/admin),登录之后,在"View配置→服务器→连接服务器"中,分别修改VCS1与VCS2的配置,如图1-3-1所示。

图1-3-1 两台连接服务器

(1)首先选中第一台连接服务器,名为VCS1的计算机,单击"编辑",进入"编辑连接服务器设置"对话框,在此设置中,其默认的URL采用的域名是当前View连接服务器的名称vcs1.heinfo.edu.cn,如图1-3-2所示。

图1-3-2 默认的第一台连接服务器的配置

(2)因为我们配置了网络负载平衡,所以需要将默认的vcs1.heinfo.edu.cn的名称改为群集IP地址对应的域名,在此修改为vcs.heinfo.edu.cn,当然对应的端口不能变。在"外部URL"处输入https://vcs.heinfo.edu.cn:443,在"Blast外部URL"处输入https://vcs.heinfo.ecu.cn:8443,并且选中"使用的PCoIP安全网关与计算机建立PCoIP连接",在此的IP地址则仍然采用第一台连接服务器的IP地址172.18.96.51:4172,如图1-3-3所示。同时在"标记"文本框中,为第一台View连接服务器设置标志,例如vcs1。

图1-3-3 修改URL名称

(3)同样在图1-3-1中,选中第2台View连接服务器并单击"编辑"按钮,打开第2台View连接服务器的设置对话框,将默认的名称由vcs2.heinfo.edu.cn修改为NLB的阵列对应的域名vcs.heinfo.edu.cn,同样"PCoIP外部RUL"的IP地址及端口为172.18.96.52:4172,并添加标记为vcs2,如图1-3-4所示。

图1-3-4 修改第2台View连接服务器的配置

经过上述配置,在局域网中,在使用Horizon View桌面时,在配置View连接服务器的地址时,采用vcs.heinfo.edu.cn即可,如图1-3-5所示。

图1-3-5 指定View连接服务器的默认名称


1.4 配置View安全服务器


在配置了View连接服务器、为View连接服务器配置证书及网络负载平衡之后,接下来是配置两台View安全服务器,并为这两台View安全服务器安装网络负载平衡、创建NLB、并配置View安全服务器。主要步骤与为View连接服务器配置类似,下面我们介绍主发步骤。

在本示例中,我们以第一台View安全服务器的配置为例介绍。

(1)设置计算机名称为view1,当前计算机不需要加入到域。

(2)设置IP地址为172.18.96.53,DNS为172.18.96.1(Active Directory域的DNS地址)。

(3)之后安装View安全服务器,在安装的过程中,在指定Horizon 7连接服务器的时候,使用vcs.heinfo.edu.cn,如图1-4-4所示。

图1-4-4 指定View连接服务器的域名或IP地址

(5)在指定安全服务器配置的时候,可以直接用前文规划的View安全服务器的阵列地址,在此为view.heinfo.edu.cn,并输入防火墙的外网地址124.n1.y1.44,如图1-4-5所示。

图1-4-5 指定外部URL及IP地址

之后根据向导完成View安全服务器的安装。同样网络中第2台View安全服务器也应该这样安装。如果在安装View安全服务器的时候没有参照图1-4-5指定外部URL域名及IP地址,也可以在View Administrator管理界面中,在"View配置→服务器→安全服务器"中,选中安全服务器单击"编辑"按钮修改,如图1-4-6所示。

图1-4-6 安全服务器

分别依次选中每个View安全服务器,打开"编辑安全服务器-VIEW1"或"编辑安全服务器-VIEW2"对话框,修改URL为view.heinfo.edu.cn,外网IP地址为124.n1.y1.44,如图1-4-7所示。

图1-4-7 修改URL

同样,在安装View安全服务器之后,需要信任根证书、申请名为View.heinfo.edu.cn的域名,并替换系统默认的证书,这些不一一介绍。

最后,等两台View安全服务器都配置完成之后,创建网络负载平衡,设置群集的域名为view.heinfo.edu.cn,设置NLB地址为172.18.96.55,并将这两台View连接服务器添加到阵列中,如图1-4-8所示。

图1-4-8 为View安全服务器配置阵列


1.5 发布View安全服务器到Internet


最后,在防火墙(或路由器)中,将View安全服务器发布到Internet。在Horizon 5.x与Horizon 6.x的时候,在发布TCP的443端口时,可以以发布Web服务器的方式发布,而在Horizon 7.0的时候,只能进行TCP端口的转发,而不能以发布Web站点的方式发布,否则发布的View桌面不能使用。

发布Horizon安全服务器,只需要发布TCP的443、4172、8443及UDP的4172即可。并且发布的目标地址是View安全服务器网络负载平衡阵列的IP地址,而不是第1台或第2台View安全服务器的IP地址。如图1-5-1所示,这是发布HTTPS服务器(使用TCP的443端口)及自定义的策略,发布View安全服务器的NLB地址172.18.96.55到Internet的截图。

图1-5-1 发布View安全服务器阵列地址

而发布4172及8443自定义的策略配置如图1-5-2所示。

图1-5-2 安全服务器端口策略

经过上述发布之后,Internet用户,在连接View桌面时,使用view.heinfo.edu.cn的域名即可访问。


1.6 客户端使用说明


VMware Horizon客户端分为两种,分别是基于Web访问的HTML客户端,另一种是VMware Horizon View Client。对于前者,局域网用户只需要访问https://vcs.heinfo.edu.cn并输入用户名与密码即可登录,Internet用户只需要访问https://view.heinfo.edu.cn即可登录,如图1-6-1所示。

图1-6-1 使用Web方式访问


对于Horizon View Client,如果是局域网访问时(访问地址vcs.heinfo.edu.cn),在访问View桌面时,可以使用PCoIP、VMware Blast、Microsoft RDP三种协议登录,任意一种即可,如图1-6-2所示。

图1-6-2 局域网可以使用任意协议

而对于Internet用户,在访问View桌面时,在采用网络负载均衡之后,则只能使用VMware Blast或Microsoft RDP协议,如图1-6-3所示。如果使用PCoIP协议,登录的View桌面会出现"黑屏"后断开。

图1-6-3 Internet不要使用PCoIP协议

因为在View Administrator的配置界面中,明确提出"PCoIP 外部 URL 不得进行负载平衡",如图1-6-4所示。另外,从Horizon 7开始,VMware开始支持VMware Blast协议,以后也会发展这个协议。如果不使用负载均衡,则仍然可以使用PCoIP协议。

配套视频“深入学习VMware Horizon View7虚拟桌面”

http://edu.51cto.com/course/course_id-6176.html