Por defecto las conexiones PCoIP son directas entre el cliente de VMware View y el escritorio virtual final (donde reside el View Agent), esto a partire dalla versión 4.6 cambia permitiendo conectarse a través de un servidor que actua como proxy inverso ya che no assicura la conectividad de las tramas UDP que se envían si no redirectiona PCoIP a través del Security Server. Este servidor Security Server permitirá que nos conectemos desde el exterior ya por fín sin VPN's y sin tener que abrir PCoIP a cada escritorio virtual, ya que él se encargará de conectarse al Connection Server y éste al escritorio virtual.

Como se ve en esta imagen este será el escenario que montaremos, un servidor VMware View Connection Server con la función de Security Server en la DMZ que permitirá la conectividad desde el exterior a nuestra infrastruttura de escritorio virtuales. La autenticación la realizará mediante HTTPS (certo) y posteriormente la conectividad PCoIP la iniciará con 4172tcp y finalmente usará UDP ya que el tamaño de los paquetes que envíe será mayor. Por lo que en ningún momento este servidor nos ofrece seguridad a nivel de PCoIP simplemente para autenticación, ya que PCoIP por defecto ya viene cifrado (con una clave de 128 bits en un algoritmo AES). Este servidor conectará con el Connection Server (el broker) de la red y le presentará el escritorio, así que necesitaremos permitir que entre el cliente y el Security Server haya tráfico 4172tcp y 4172udp, así como del Secure Server al cliente 4172udp. Ora, del Security Server a los escritorios virtuales debemos poter arrivare mediante 4172tcp y 4172udp en cambio los escritorios virtuales al Security Server con 4172udp.

El consumo de ancho de banda básico utilizando PCoIP en un equipo básico con ofimática, sin vídeos, ni 3D, e instalación más o menos predeterminada de Windows consume entre 200kbps y 250kbps, aún así siempre debemos considerare che en un momento dado un equipo de estos puede darnos un pico de 500kbps/1mbps, todo esto considerando che es un trabajo continuo con detto scrivo, ya que incluso este consumo podría estabilizarse en 100kbps. Si tendremos equipos visualizando vídeos (480p) pensaremos ya en 1mbps de canuto. El ancho de banda que necesitaremos por lo tanto lo calcularemos con la siguiente formula: (XXXkbps/0,80) x nº equipos. Obviamente cuánto mejor tuneemos el sistema operativo cliente menos necesitaremos, tanto de ancho de banda como CPU, memoria, acceso a disco…

En principio este equipo no debería pertenecer a ningún dominio, no es un requisito y con ello obtendremos una DMZ algo más segura. Comenzamos la instalación del servidor Security Server desde el installador de VMware View Connection Server, “Prossimo”,

Aceptamos el acuerdo de patentes de USA, "Avanti",

"Accetto i termini del contratto di licenza" & "Avanti",

Path predeterminado de la instalación de Security Server será: %ProgramFiles%VMwareVMware ViewServer, "Avanti",

Selezionare “View Security Server” & “Prossimo”,

…

Il server Security Server dobbiamo associarlo a un server Connection Server della LAN a cui passeremo tutte le richieste esterne, In questo Connection Server abiliteremo il Gateway per permettere tali connessioni (Terremo conto di quanto detto, Dovrà essere un Windows 2008 R2). Indichiamo il nome del CS & “Prossimo”,

Non male, Ci chiede una password per poter accoppiare entrambi i server, Indichiamo quella che ci interessa ma prima di continuare dovremo configurarla nel corrispondente Connection Server.

Per questo, dal web il VMware View Administrator

Andremo a “View Configuration” > “Server” Selezioniamo il server al quale ci stiamo accoppiando “More Commands” > “Specify Security Server Pairing Password…”,

Scriviamo un paio di volte la chiave che vogliamo per tale accoppiamento & “OK” & proseguiamo con l'assistente di installazione,

Ora dovremo indicare l'URL esterno che è quello che gli utenti devono scrivere per connettersi dall'esterno. Oltre all'indirizzo IP pubblico fisso che sarà quello a risolvere tale nome FQDN cui si connetteranno tramite PCoIP, personalmente credo che questo non sia buono dato che esistono ambienti che tramite GSLB bilanciano i loro siti rispondendo con diversi IP pubblici a seconda di vari fattori interni. Ma, beh,…

Ci indica che ci aprirà quelle porte a livello di firewall di Windows, bene “Configura automaticamente il firewall di Windows” & “Prossimo”,

“Installare” per iniziare l'installazione,

…

Pronto!

Se torniamo alla console di gestione web dell'ambiente VDI in “View Configuration” > “Server” potremo confermare che nella sezione di “Security Servers” sale el nuevo servidor que acabamos de instalar y si entrásemos en sus opciones disponemos de forma correcta de la URL externa así como de la IP que perviamente hemos configurado en el asistente de instalación. Ahora lo que haremos será permitir en el Connection Server al que éste se conecta la función de Gateway, así que sobre el CS > “Redigere…”

Segno “Use PCoIP Secure Gateway for PCoIP connections to desktop”, deberemos tener en cuenta que en el Connection Server en el que habilitaremos este parámetro, todos los clientes internos que se conecten a través de este CS se conectarán mediante el gateway, así que puede ser una opción disponer de al menos dos Connection Servers, uno para accesos externos y el otro internos; con el fin de disponerlos replicados. Configuramos pues la “External URL” e “PCoIP External URL” con los parámetros anteriormente indicados & “OK”, con esto quedaría listo un acceso externo a nuestra organización VDI mediante VMware View Client!