Por defecto las conexiones PCoIP són directes entre el client de VMware View y l'escriptori virtual final (donde reside el View Agent), esto a partir de la versión 4.6 canvi permetendo connectarse a través de un servidor que actua como proxy inverso ya que no asegura la connectividad de las tramas UDP que se envían si no redirecciona PCoIP a través del Security Server. Este servidor Security Server permitirá que nos connectemos desde el exterior ya por fín sin VPN's y sin tener que abrir PCoIP a cada escriptori virtual, ya que él se encargará de connectse al Connection Server y éste al escritorio virtual.

Como se ve en esta imagen este será el escenario que montaremos, un servidor VMware View Connection Server con la función de Security Server en la DMZ que permitirá la conectividad desde el exterior a nuestra infraestructura de escritorio virtuales. La autenticación la realizará mediante HTTPS (assegurança) y posteriormente la conectividad PCoIP la iniciará con 4172tcp y finalment usará UDP ya que el tamaño de los paquetes que envíe será mayor. Por lo que en ningún momento este servidor nos ofrece seguridad a nivel de PCoIP simplemente para autenticación, ya que PCoIP por defecto ya viene cifrado (con una clave de 128 bits en un algoritmo AES). Este servidor conectará con el Connection Server (el broker) de la red y le presentará el escritorio, així que necessitarem permetre que entre el client i el Security Server hi hagi trànsit 4172tcp y 4172udp, así como del Secure Server al client 4172udp. Ara, del Security Server a los escriptoris virtuals hem de poder arribar mediante 4172tcp y 4172udp en canvi los escriptoris virtuales al Security Server con 4172udp.

El consum de l'anç de banda bàsica utilitzant PCoIP en un equip básico con ofimática, sin vídeos, ni 3D, e instalación más o menos predeterminada de Windows consume entre 200kbps i 250kbps, encara així sempre hem de considerar que en un moment dat un equip de aquests pot darnos un pico de 500kbps/1mbps, tot això considerant que és un treball continuo amb dit escriptori, ya que fins i tot aquest consum podría estabilitzar-se en 100kbps. Si tendremos equips visualizando vídeos (480p) pensaremos ya en 1mbps de canuto. L'anxo de banda que necessitaremos por lo tanto lo calcularemos con la siguiente fórmula: (XXXkbps/0,80) x nº equips. Obviament cuánto mejor tuneem el sistema operatiu client menos necesitaremos, tanto de ancho de banda como CPU, memòria, acceso a disco…

En principio este equipo no hauria de pertànyer a cap domini, no és un requisit i amb ell obtendrem una DMZ alguna cosa més segura. Comenzamos la instalación del servidor Security Server desde el instalador de VMware View Connection Server, “Next”,

Acceptamos el acuerdo de patentes de USA, “Next”,

Accepto els termes del contracte de llicència & “Next”,

Path predeterminat de la instal·lació del Security Server serà: “%ProgramFiles%VMwareVMware ViewServer”, “Next”,

Seleccionem “View Security Server” & “Next”,

…

El servidor Security Server l'hem d'associar a un servidor Connection Server de la LAN que serà al qual passen totes les peticions externes, en aquest Connection Server habilitarem el Gateway per permetre aquestes connexions (tenir en compte el que s'ha dit, haurà de ser un Windows 2008 R2). Indiquem el nom del CS & “Next”,

Bé, ens sol·licita una contrasenya per poder emparellar ambdós servidors, indiquem la que ens interessa però abans de continuar haurem de configurar-ho en el corresponent Connection Server.

Per a això des de la web el VMware View Administrator

Anirem a “Configuració de View” > “Servers” seleccionem el servidor amb el qual ens estem emparellant “More Commands” > “Specify Security Server Pairing Password…”,

Escribimos un par de veces la clave que queramos para dicho emparejamiento & “OK” & seguim amb l'assistent d'instal·lació,

Ahora deberemos indicar la URL externa que es la que deben escribir los usuarios para conectarse desde el exterior. Además de la dirección IP pública fija que será la que resolvera dicho nombre FQDN que será al que se conectarán mediante PCoIP, esto personalmente creo que no es bueno ya que existen entornos que mediante GSLB balancean sus sitios respondiendo diferentes IP’s públicas dependiendo de varios factores internos. Però bo…

Nos indica que nos abrirá esos puertos a nivel de firewall de Windows, doncs “Configure Windows Firewall automatically” & “Next”,

“Install” per començar la instal·lació,

…

Llist!

Si volvemos a la consola de administración web del entorno VDI en “Configuració de View” > “Servers” podremos confirmar que en el apartado de “Security Servers” sale el nou servidor que acabamos de instalar y si entrásemos en les seves opcions disposem de forma correcta de la URL externa així com de la IP que perviamente hemos configurado en el asistente de instalación. Ahora lo que haremos será permitir en el Connection Server al que éste se conecta la función de Gateway, así que sobre el CS > “Edit…”

Marquem “Use PCoIP Secure Gateway per a connexions PCoIP a l'escriptori”, deberemos tener en compte que en el Connection Server en el que habilitaremos este parámetro, todos los clients internos que se connecten a través de este CS se connectarán mediante el gateway, así que puede ser una opció disponer de al menos dos Connection Servers, uno para accesos externs y el otro internos; con el final de disponerlos replicados. Configuramos pues la “External URL” y “PCoIP External URL” con los parámetros anteriormente indicados & “OK”, con esto quedaría listo un accés extern a la nostra organització VDI mediante VMware View Client!