1. Anasayfa
  2. Horizon

Deep-Dive: VMware Blast Extreme

Deep-Dive: VMware Blast Extreme
0

Görüntü destekli bağlantı protokolleri, son kullanıcılara bir uzak masaüstüne veya uygulamaya yönelik bir grafik arabirim sağlar. Blast Extreme, cihazlar, konumlar, medya ve ağ bağlantıları genelinde son kullanıcılara kapsamlı, zengin özelliklere sahip bir deneyim sunmak için VMware tarafından oluşturulmuş bir görüntüleme protokolüdür. Bu içeriği çıkarma amacım, Blast Extreme kullanmayı düşünen yöneticiler için avantajları, sınırlamaları ve dağıtım seçenekleri dahil olmak üzere Blast Extreme görüntü protokolünün teknik bir açıklamasını sağlamak amaçlı oluşturuldu.

Blast Extreme Faydaları

  • Son kullanıcılar, kişiselleştirilmiş sanal masaüstlerine veya uygulamalarına şirket dizüstü bilgisayarlarından, evlerinden, ince istemci cihazlarından, Mac’lerden, tabletlerinden veya akıllı telefonlarından erişebilirler.
  • Kurumsal verileri uyumlu ve veri merkezinde güvenli bir şekilde saklarken, cihazlar ve konumlar arasında tutarlı bir kullanıcı deneyimi sağlar.
  • NVIDIA GPU ile kullanıldığında görsel olarak zorlu uygulamalar için performans gereksinimlerini karşılama yeteneği sağlar.
  • Windows, Linux, Mac, Android, iOS, Chrome ve web (HTML Access) istemcileri dahil olmak üzere geniş istemci desteği sağlar.
  • TCP veya UDP protokolleri kullanabilirsiniz.
  • Değişen ağ koşullarını belirlemek ve bunlara uyum sağlamak amacıyla adaptive özelliği bulunur.
  • VMware Dynamic Environment Manager  ile birlikte verilen Windows GPO veya Horizon Smart Policy kullanmayı içeren yapılandırma yöntemlerine ilişkin esneklik sağlar
  • VMware Unified Access Gateway ile kullanıldığında Firewall’da yalnızca bir bağlantı noktasının (TCP 443) açılması dahil kurulumu basitleştirme seçeneği sağlar

Güvenlik özellikleri

Blast Extreme, Horizon’u desteklemek için aşağıdaki güvenlik özelliklerini içerir:

  • AES (Gelişmiş Şifreleme Standardı) şifrelemesi: Tüm TCP ve UDP bağlantıları, iletişimi şifrelemek için TLS kullanır. TLS sürümü ve şifreleme, mevcut en iyi uygulamaları yansıtacak şekilde rutin olarak güncellenir. Bu şifreleme mekanizmaları H.264, H.265 ve JPG/PNG codec bileşenleri için geçerlidir.
  • Güvenlik sertifikaları: External bağlantılar için Blast Extreme, Unified Access Gateway cihazındaki güvenlik sertifikasını kullanabilir. Blast Extreme, Blast Secure Gateway veya sanal masaüstünün sertifika thumbprint de kullanabilir. Sertifika thumbprint bir sertifikanın kriptografik karmasıdır.
  • SHA-256 imzaları: Blast Extreme, SHA-256 dahil olmak üzere en son güvenlik algoritmalarını kullanır.
  • IPv4/IPv6 desteği: Blast Extreme kullanılırken, IPv6 VMware Horizon Client’lar ile IPv4 kullanan backend arasında köprü oluşturmak için Unified Access Gateway kullanılabilir. Horizon İstemcileri, IP sürüm 4 veya 6’yı kullanabilir. 
  • FIPS desteği: Unified Access Gateway 2.9 veya sonraki cihazlar için FIPS kütüphaneleri mevcuttur.
  • Port Sharing: Kurumsal ağ dışından bağlantılar için bir Unified Access Gateway sanal cihazı kullanırsanız, bağlantı varsayılan olarak 8443 TCP bağlantı noktasını ve isteğe bağlı olarak 8443 UDP bağlantı noktasını kullanır. 443 numaralı TCP bağlantı noktasında Port Sharing özelliğini kullanın, böylece firewall’da ek bağlantı noktalarının açılmasına gerek kalmaz.
    Not : Port Sharing, Unified Access Gateway üzerinde bir miktar performans yüküne neden olduğundan, varsayılan bir yapılandırma değildir.

Blast Extreme’in Bileşenleri

Görüntü protokolleri, metin, sabit görüntüler, video akışı, 3B ve ses dahil olmak üzere çeşitli ekran içeriği türleri için en iyi kullanıcı deneyimini verimli bir şekilde sağlayabilmelidir. Blast Extreme, tıbbi görüntüleme ve büyük veri kümelerini analiz etmek, haritalar oluşturmak, hem 2B hem de 3B olarak dış dünyanın senaryolarını görselleştirmek için kullanılan coğrafi bilgi sistemleri (GIS) uygulamalarını tasarlamak dahil olmak üzere en zorlu grafik iş yüklerinin üstesinden gelecek şekilde inşa edilmiştir.

Yapılandırılabilir Bileşenler

Bir görüntüleme protokolünün bileşenleri, son kullanıcıların karşılaşabileceği farklı ekran içeriği türlerini ve farklı ağ hızlarını ele alacak şekilde yapılandırılabilir. Bu bileşenler, aktarım protokolünü ve görüntü protokolü kodeğini içerir:

  • Transport Protocol: Blast Extreme, istemciler ve Horizon altyapısı arasındaki görüntü trafiğini taşımak için iki aktarım protokolünü destekler: TCP ve UDP
  • Display Protocol Codec: Blast Extreme tarafından aktarılan ekran içeriğini kodlamak ve kodunu çözmek için codec bileşenleri kullanılır. Blast Extreme dört codec bileşenini destekler: JPG/PNG, H.264, HEVC (H.265) ve yeni Blast Codec. Bu codec bileşenleri tarafından kullanılan görüntü formatları, ağ üzerinden aktarılmadan önce içeriğin boyutunu azaltmak için sıkıştırma kullanır.

Client Bileşenleri

Mobil bulut için optimize edilen VMware Blast Extreme, Windows, Linux, Mac, Android, iOS, Chrome ve web (HTML Access) istemcileri dahil olmak üzere çok çeşitli istemci cihazlarını destekler. İstemci tarafında, Blast Extreme tarafından aktarılan ekran içeriğini kodlamak ve kodunu çözmek için hangi codec veya codec bileşenlerinin kullanılacağını yapılandırabilirsiniz.

Horizon Client, aşağıdaki istemci türlerinde H.264’ü destekler:

  • 2013 veya sonrasında üretilen çoğu Mac, dizüstü bilgisayar ve Windows PC.
  • Chromebook’lar.
  • iOS ve Android cihazlar.
  • Windows tabletler ve telefonlar.
  • VMware Horizon HTML Access için bu özellik, cihaz H.264 destekliyorsa Chrome tarayıcılarda (sürüm 45 veya üzeri) desteklenir. Diğer tarayıcılar için JPG/PNG codec bileşeni kullanılır.

Horizon Client ayrıca “High Efficiency Video Coding” veya kısaca HEVC’yi de destekler. HEVC, H.265 olarak da bilinir ve H.264’ün endüstri halefidir. HEVC, H.264 ile aynı kalitede yüzde 50’ye kadar daha iyi sıkıştırma sağlar ve ayrıca H.264 ile benzer sıkıştırma oranlarında daha yüksek kalite sağlayabilir.

Ancak, H.265 için H.264’ten önemli ölçüde daha fazla işlem gücü gerektirdiğinden, masaüstü ve sunucular için ESXi Host’un NVIDIA GPU’larına sahip olması gerekir. HEVC, yalnızca CPU kodlamasıyla çalışmayacaktır. HEVC ayrıca kurumların H.265 kod çözme desteğine sahip grafik kartlarına sahip olmasını gerektirir, ancak neyse ki H.264’te olduğu gibi 2015’ten beri üretilen istemci cihazların çoğunda bu kartlar bulunur.

Agent Bileşenleri

Yöneticilerin sanal masaüstlerine ve Microsoft RDSH sunucularına yüklediği Horizon Agent’ta iki Blast Extreme bileşeni bulunur:

  • VMware Blast servisi ( VMBlastS.exe) kullanıcı oturumlarını yönetir, gelen TCP bağlantılarını proxy’ler ve Blast Worker sürecini hazırlar.
  • Blast Worker process ( VMBlastW.exe) ekranı yakalar ve oturum içindeki her şeyi işler.

Client ve Agent Bileşenleri için Log Dosyası Konumları

Blast Extreme ile ilgili günlük dosyaları aşağıdaki konumlarda bulunabilir:

Windows Client: C:\Users\<%username%>\AppData\Local\Temp\vmware-<username>\vmware-mks-<#>.log

Mac Client: Users/<%username%>/Library/Logs/VMware/vmware-mks-<#>.log | Ayrıca Mac’te logları toplamak Horizon Collector For Mac kullanabilirsiniz.

Horizon Agent: <Drive>:\ProgramData\VMware\VMware Blast\ | Bu dizin, üç Blast Extreme bileşeni için logları içerir:

  • Blast-Service.log
  • Blast-Worker-SessionId<#>.txt
  • Blast-Proxy.log

Blast Extreme Bağlantı Trafiği

Bu bölüm, kullanıcının şirket ağının içinde veya dışında olmasına bakılmaksızın, Blast Extreme’in en iyi uzaktan görüntüleme deneyimini sunabilmesi için yapılan bağlantıların iş akışını detaylandırır. Diyagramlar, hangi bağlantı noktalarının hangi konumlarda kullanıldığını gösterir ve diyagramları takip eden numaralı listeler, her bağlantıda neler olduğunu gösterir.

Internal Bağlantı Trafiği

Internal bağlantıda, istemci, sunucu ve sanal masaüstü veya RDSH sunucusunun tümü şirket ağının içindedir. Aşağıdaki şema, dahili bir bağlantı için kullanılan bağlantı noktalarını gösterir ve aşağıdaki liste, bağlantıların yapıldığı sırayı açıklar.

  1. İstemci aygıtına yüklenen Horizon Client, kimlik doğrulama ve masaüstü veya uygulama isteği yapmak için 443 numaralı TCP bağlantı noktası üzerindeki Connection Server’a bağlanır.
  2. Connection Server, sanal masaüstü veya uygulamalar sağlayan RDSH sunucusu için bağlantı bilgilerini döndürür (TCP bağlantı noktası 443’te).
  3. İstemci ile sanal masaüstü veya RDSH sunucusu arasında 22443 numaralı bağlantı noktasında bir TCP WebSocket bağlantısı yapılır.Not : Bu noktada aracı tarafında bulunan VMware Blast servisi (sanal masaüstü veya RDSH sunucusu üzerinde Horizon Agent) gelen TCP bağlantısını proxy’ler. Blast Worker process’i, Agent da UDP’nin etkinleştirilip etkinleştirilmediğini ve istemcide buna izin verilip verilmediğini belirler.
  4. Agent’da UDP etkinleştirilmişse (varsayılan), Blast Proxy process’i (Horizon Agent), 22443 numaralı bağlantı noktasındaki istemciyle bir UDP WebSocket bağlantısı kurmaya çalışır. UDP etkinleştirilmemişse veya engellenmişse, ilk TCP bağlantısı (3. Adım) kullanılır.
  5. Client-Drive Redirection (CDR) yönetici tarafından etkinleştirildiğinde, varsayılan olarak, trafik Blast Extreme kanalında yan kanallıdır. İstenirse Horizon Client ve Horizon Agent arasındaki trafik ayrı bir bağlantı noktası (TCP 9427) kullanacak şekilde yapılandırılabilir.
  6. Multimedia Redirection (MMR) etkinleştirilirse, bu trafik, Client ile Agent arasındaki TCP bağlantı noktası 9427’yi kullanır.
  7. USB Redirection etkinleştirilirse, bu trafik, Client ile Agent arasında TCP 32111’i kullanır.

Internal Tunnel Bağlantı Trafiği

Internal Tunnel bağlantısıyla, istemci, sunucu ve sanal masaüstü veya RDSH sunucusunun tümü de şirket ağının içindedir, ancak istemciler, sanal masaüstlerinden veya RDSH sunucularından farklı bir alt ağda olabilir. İstemciler ile Agent’lar arasında doğrudan bağlantı noktaları açmak istemiyor olabilirsiniz. Connection Server üzerinden trafiğin tünellenmesi, bağlantı noktalarının Connection Server ile istemci arasında ve Connection Server ile Agent arasında açık olmasına izin verir, ancak istemci ile Agent arasında olan bağlantıya izin vermez.

  1. İstemci cihazdaki Horizon Client, kimlik doğrulama ve bir masaüstü veya uygulama istemek için 443 numaralı TCP bağlantı noktasındaki Connection Server’a bağlanır.
  2. Connection Server, sanal masaüstü veya uygulamalar sağlayan RDSH sunucusu için bağlantı bilgilerini döndürür (TCP bağlantı noktası 443’te).
  3. İstemciden 8443 numaralı bağlantı noktasındaki Blast Secure Gateway’e ve ardından Blast Secure Gateway’den sanal masaüstüne veya 22443 numaralı bağlantı noktasındaki RDSH sunucusuna bir TCP WebSocket bağlantısı yapılır.
  4. Multimedia Redirection(MMR), Client-Drive Redirection(CDR), USB Redirection veya bunların bazı kombinasyonları yönetici tarafından etkinleştirildiğinde, bu trafik Connection Server’daki HTTPS Secure Tunnel üzerinden geçer. TCP 443, istemci ile Connection Server arasında kullanılır. Trafik, Connection Server ile Agent arasındaki uzak deneyim özelliklerinin her biri için yerel bağlantı noktasını kullanır:
  • Multimedia Redirection trafiği, TCP 9427’yi kullanır.
  • Client-Drive Redirection trafiği, TCP 9427’yi kullanır.
  • USB Redirection trafiği, TCP 32111’i kullanır.

External Bağlantı Trafiği

External bağlantıda, istemci, şirket ağının dışından Unified Access Gateway’e bağlanıyor. Bu arkadaş daha sonra trafiği Connection Server ve Agent üzerindeki doğru bağlantı noktasına ve konuma yönlendirir.

  1. Horizon Client, istemci cihazda bir masaüstü veya uygulamanın kimliğini doğrular ve bağlantı isteği gönderir. Bağlantı, istemciden TCP bağlantı noktası 443 üzerindeki bir Unified Access Gateway sanal cihazına ve ardından Unified Access Gateway’den TCP bağlantı noktası 443 üzerindeki Connection Server’a gider.
  2. Connection Server, sanal masaüstü veya RDSH sunucusunun bağlantı bilgilerini istemciye döndürür.
  3. İstemciden TCP 8443 üzerindeki Blast Secure Gateway’e  ve ardından Blast Secure Gateway’den TCP bağlantı noktası 22443’teki sanal masaüstüne veya RDSH sunucusuna bir WebSocket bağlantısı yapılır. Blast tarafından kullanılan bağlantı noktası Unified Access Gateway üzerindeki Secure Gateway özelleştirilebilir (örneğin, TCP 443’ü kullanabilir).Not : Bu noktada Agent tarafında bulunan VMware Blast servisi gelen bağlantıya proxy gönderir. Blast Worker process’i, Agent’da UDP’nin etkinleştirilip etkinleştirilmediğini ve istemcide buna izin verilip verilmediğini belirler.
  4. İstemcide, Unified Access Gateway’de ve Agent’da (varsayılan) UDP etkinleştirilirse, istemci, Unified Access Gateway aracılığıyla aracıya UDP bağlantısı kurmaya çalışır. UDP etkinleştirilmemişse veya engellenmişse, bunun yerine ilk TCP bağlantısı (3. Adım) kullanılır.
    1. Bu bağlantı, istemciden Unified Access Gateway üzerindeki 8443 numaralı UDP bağlantı noktasına yapılır.
    2. Bağlantı, Unified Access Gateway’den aracıdaki 22443 numaralı UDP bağlantı noktasına devam eder.
  5. İstemci ve Agent arasında, TCP bağlantısı varsa, Blast Unified Access Gateway aracılığıyla kurulan UDP bağlantısı kullanılarak bir Blast oturumu kurulur. UDP bağlantısı başarılı olursa, Blast, oturum trafiği için TCP veya UDP kullanılıp kullanılmayacağına karar vermek için ağın durumunu değerlendirir. Yönetici, USB Redirection veya Client-Drive Redirection(CDR) gibi ek özellikleri etkinleştirmişse, yönetici bu özellikler için trafiğin Blast oturumu içindeki sanal kanallarda mı yoksa ayrı özel bağlantılarda mı taşınacağını seçebilir.
  6. Client-Drive Redirection(CDR) yönetici tarafından etkinleştirildiğinde, bu trafik Unified Access Gateway cihazındaki Horizon Tüneli’nden geçer. TCP 443, istemci ile Unified Access Gateway arasında kullanılır. Varsayılan olarak, trafik daha sonra Blast Extreme kanalında aracıya yandan kanalize edilir. İstenirse, Unified Access Gateway ile Horizon Agent arasındaki trafik, ayrı bir bağlantı noktası (TCP 9427) kullanacak şekilde yapılandırılabilir.
  7. Multimedia Redirection (MMR) etkinleştirilirse, bu trafik, istemciden Unified Access Gateway üzerindeki Horizon Tüneli’ne giden TCP bağlantı noktası 443’ü kullanır. TCP 9427, daha sonra Unified Access Gateway’den Agent’a doğru kullanılır.
  8. USB Redirection aktifse, bu trafik, istemciden Unified Access Gateway üzerindeki Horizon Tüneli’ne giden TCP bağlantı noktası 443’ü kullanır. TCP 32111, Unified Access Gateway ile Agent arasında kullanılır.

Blast Extreme Adaptive Transport

Masaüstü ve uygulama sanallaştırma projelerinde bir bağlantı trafiği oluşturmak çok boyutlu bir sorundur. Kullanıcılar bu uzak uygulamalara ve masaüstlerine her yerden erişebilir:

  • Altyapının LAN üzerinden barındırıldığı aynı siteden;
  • WAN/Cloud üzerinden uzak bir şubeden;
  • Halka açık Wi-Fi üzerinden en sevdikleri kafeden
  • Hareket halindeyken ve mobil ağlar üzerinden uzak altyapıya erişim.

Son kullanıcıların herhangi bir yerde bulunabileceği göz önüne alındığında, ellerindeki ağ koşulları da değişebilir. Bant genişliği saniyede birkaç on kilo bitten saniyede 100 megabite kadar, Latency ise milisaniyeden 100 milisaniyeye kadar değişebilir ve paket kaybı sıfırdan %50’ye kadar değişebilir.

Ek olarak, son kullanıcılar herhangi bir cihazı kullanabilir ve herhangi bir platformda ( Windows veya Linux gibi) uzak uygulamalara ve masaüstlerine erişebilir. Şunlarla ilgilenebilirler:

  • Ses/video gibi gecikmeye duyarlı veya kayıp toleranslı multimedya iş yükleri
  • Gecikme duyarlı ancak kayıp toleranssız olan fare/klavye hareketleri gibi etkileşimli iş yükleri
  • Gecikme süresine duyarsız ve kayıp toleranssız olan CDR/USB Redirection gibi toplu veri aktarımı iş yükleri.

TCP Doğru Karar Olmayabilir

TCP, birçok nedenden dolayı bu çok boyutlu problem için uygun değildir. Özellikle:

  1. TCP, akışın güvenilir bir şekilde teslim edilmesini garanti etmek için yeniden iletimlere güvenir. Yeniden iletilecek doğru paketleri belirlemek zaman alır ve bu özellikle zorlu ağlarda etkileşimli/multimedya iş yükleri için uygun değildir.
  2. Proxy’ler ve uygulama ağ geçitleri TCP’yi şeffaf bir şekilde sonlandırır ve böylece darboğaz bant genişliğini uç noktalardan gizler. Bu, mevcut uçtan uca bant genişliğini tahmin etmeyi zorlaştırır.
  3. TCP ayrıca, kayıplara tepki vermeyi belirsiz kılan iyi bir paket kaybı modelinden yoksundur.

Blast Extreme’in bir parçası olan Adaptive Transport, UDP üzerine inşa edilmiştir.

  1. Ağa duyarlı, ileri hata düzeltme (FEC) ile veri yeniden iletimini birleştirmenin benzersiz bir şeması. FEC’nin yeniden iletim mekanizmasının üzerine bir katman olarak entegre edildiği diğer uygulamaların aksine, bu çözüm onu sorunsuz bir şekilde yeniden iletim katmanında birleştirir. Bu, doğru miktarda paketi, gidiş-dönüş bekleme süresi olmadan proaktif olarak yeniden iletmemize yardımcı olur.
  2. Yeniden iletim zaman aşımlarını azaltmaya veya ortadan kaldırmaya büyük ölçüde yardımcı olan, yetersiz yeniden iletilebilir alındı ​​bildirimleri oluşturmak için yeni bir teknik.
  3. Yüksek paket kaybı alanlarıyla başa çıkmak için, uygulamanın gönderecek yeterli verisi olmadığında, bu çözüm paket kaybını etkili bir şekilde tahmin eder ve benzersiz bir bant genişliği tahmini tıkanıklık kontrol algoritması kullanır. Bu darboğaz, bant genişliğini ve gidiş-dönüş süresini sırayla inceleyerek küçük bir kuyrukla yüksek verim arar.

Taşıma düzeyinde yukarıdaki farklılıklara ek olarak, Adaptive Transport mimarisi önemli avantajlar getiriyor. Özellikle:

  1. VMware Horizon Client’dan masaüstlerine ve uygulamalara istek yapıldığında, ağ özelliklerini tam olarak tahmin etmeye ve değişen ağ koşullarına hızla uyum sağlamaya yardımcı olur.
  2. Herhangi bir kopyalama olmaksızın sabit zamanda farklı oturumlara datagramları çoğullamayı kaldıran bir sürücü tanıtılıyor. Bu, RDS ortamlarında çoklu oturumlar için doğrusal olarak ölçeklendirmeye yardımcı olur ve RDS sunucusu başına kullanıcı oturumu sayısının konsolidasyon oranını iyileştirir.
  3. Farklı platformlarda ortak bir ara katman yazılımı olarak tasarlanmıştır. Bu, yenilikleri tüm Horizon Client ve Linux VDI’ye aynı anda getirmemizi sağlar.

Güvenlik katmanı tartışılmadan aktarımla ilgili hiçbir tartışma tamamlanmaz. Blast Extreme Adaptive Transport, uçtan uca bir SSL/TLS akışı kullanılarak güvence altına alınır. Bu, VMware Blast Security Gateway dahil olmak üzere herhangi bir ara proxy’de sonlandırılmaz , bu nedenle uç noktalar, bottleneck konusunda tam görünürlüğe sahiptir. Blast Security Gateway, uyarlanabilir aktarım oturumu kurduğunda datagram başına, HMAC kullanarak protokolün kimliğini doğrular.

Blast Extreme Adaptive Transport, VMware Horizon View 7.1 ve Horizon Client 4.4’te varsayılan olarak etkinleştirilmiştir . İstemciler  DMZ dışından bağlanıyorsa, yeni aktarımdan tam olarak yararlanmak için VMware Unified Access Gateway’e sahip olmanız gerekir. Adaptive Transport ağı UDP kullanılabilirliği için otomatik olarak algılar ve UDP mevcut değilse (yani UDP yönetimsel olarak engellenirse) eski Blast TCP’ye geri döner.

VMware Horizon Gereksinimleri

  • Connection Server 7.1 veya üstü gereklidir; Connection Server 7.10 veya üstü önerilir.
  • External bağlantılar için: Unified Access Gateway 2.9 veya üstü.
  • Horizon Client 4.8+ gereklidir; Horizon Client 5.2+ önerilir.
  • Horizon Agent 7.5 veya üzeri gereklidir; Horizon Agent 7.10 veya üstü önerilir.
  • Linux masaüstleri için: Horizon for Linux sürüm 7.5 veya üzeri gereklidir; Horizon for Linux sürüm 7.10 veya üzeri önerilir.

Yapılandırma ve Optimizasyon

Yönetici ayarları, son kullanıcı ayarları ve çeşitli optimizasyon stratejileri hakkında bilgi için blogda bulunan aşağıdaki gönderiye erişebilirsiniz.

VMware Horizon – Blast Extreme Optimizasyonu

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir