VMware Horizon Cloud Service next-gen とは？

VMware Horizon Cloud Service next-gen とは、Azure上の仮想マシンをHorizon Cloudでコントロールする事で、VDIを提供する事ができるサービスです。
2022年8月11日より一般提供 (GA) が開始されました。

[提供機能]
・サーバーOSによる[デスクトップ配信]と[アプリケーション配信]
・クライアントOSによる[デスクトップ配信]と[アプリケーション配信]
※ストアアプリのアプリケーション配信はできません。
※ダブルホップ、ドレインモードは未サポート

[利用可能なOS]
・Windows 10/11 Enterprise Multi-Session (SAC)
・Windows 10/11 Enterprise Single-Session (SAC)
・Windows Server 2022
・Windows Server 2019
・Windows Server 2016
・Windows Server 2012 R2

※Multi-sessionとは、１台のサーバーで複数のデスクトップ画面を提供できるOSです。

[電源管理]
・ユーザーが接続したタイミングで自動的に起動
・接続数に応じて、VDIを自動的に起動/停止
・指定した日時や曜日に応じて、自動的に起動/停止

さっそく、構成を確認してみましょう！

※AzureAD Join 構成も可能です。
※1環境で、20,000セッションまで対応可能

【仮想ネットワーク】※３つのサブネットが必要

・管理サブネット：[/26]以上。UAG、Edge Gatewayを配置。NAT Gatewayが必要。
※使用不可アドレス[169.254.0.0/16 , 172.30.0.0/16 , 172.31.0.0/16 , 192.0.2.0/24]
・デスクトップ(テナント)サブネット：[/27]以上。仮想マシンを配置。内部からの接続用にプライベートロードバランサーを配置
・DMZサブネット：[/27]以上。外部からの接続用にパブリックロードバランサーを配置

【Horizon Cloud側コンポーネント】

・Identity Management
・Image Management
・Lifecycle Management
・Brokering
・Application Management
・Monitoring
・Licensing

Horizon Cloudは、下記Azureリージョンにあります。
[westus2 / eastus2 / northeurope / japaneast / germanywestcentral]

【Azure側コンポーネント】

・Horizon Edge Gateway x4：NVAとして展開される。セッション/キャパシティ管理を担う
・UAG(Unified Access Gateway) x2：NVAとして展開される。クライアントからの接続窓口
・Active Directory：AAD＆VDIへのサインイン時に利用　※AADJ構成の場合は不要
・Master Image：マスターイメージ作成用VM。どのサブネットでも作成可能
・VDI：配信用デスクトップ/アプリケーションを実行する仮想マシン。Horizon Agentがインストールされ、Horizon Cloudと通信を行う。MQTTはPrivateLinkを経由となる。

next-genでは、IDプロバイダーの利用が必須となっております。
IDプロバイダーとして[AzureAD / Workspace ONE Access]から選択可能
どちらを選択した場合でも、Active Directoryと同期しておく必要があります。
※AzureAD Join構成の場合は、同期不要。

接続の流れを見てみましょう！

①Horizon Clientから、Horizon Cloud 制御プレーン[Universal Broker]に接続を行います。
②接続後、テナントサブドメインを入力、指定したIDP(AzureAD)にて認証を行います。
③認証が成功すると、Horizon Clientに割り当てられたリソース(アプリ/デスクトップ)が表示されます。
④リソースを選択すると、Horizon Cloud 制御プレーンは、Horizon Clientに対し、接続先のVDIを通知する。
⑤VDIに接続するために、UAGに設定したFQDNを使い、UAGに接続します。社外から接続した場合は、パブリックLBのIPが返され、社内から接続した場合は、ローカルLBのIPが返されます。※このようにDNSを設定する必要があります。
⑥Horizon Clientは、UAG経由でVDIに接続し、サインインのためADにて認証を行います。
⑦認証が成功すると、UAG経由で画面転送が開始されます。

※基本的には、②⑥で認証が必要です。SSOを利用する事で⑥はスキップ可能
※完全閉域(1パケットもインターネットに出さない)接続はできません。

プールタイプを見てみましょう！

プールタイプは、３パターンあります。
※マスターイメージの更新は、VDIの再作成となるのでデータは消えてしまいます。
※リンククローン＆インスタントクローンは、利用できません。

【専用 – 単一セッション】
・割当方式：1対1の固定割り当て
・配信サービス：デスクトップ
・対象OS：Windows 10/11 Single-Session
ユーザーが接続すると必ず同じデスクトップが割り当てられます。ユーザーがデスクトップ上で加えた変更はローカルディスクに保存されます。

【フローティング – 単一セッション】
・割当方式：ランダム割り当て
・配信サービス：デスクトップ
・対象OS：Windows 10/11 Single-Session
ユーザーが接続する度にランダムにデスクトップが割り当てられます。ユーザーがデスクトップ上で加えた変更は保存されません。ログオフするとデスクトップがリセットされます。

【マルチセッション】
・割当方式：ランダム割り当て
・配信サービス：デスクトップ＆アプリケーション
・対象OS：Windows 10/11 Multi-Session / Windows Server
ユーザーが接続する度にランダムにデスクトップが割り当てられます。ユーザーがデスクトップ上で加えた変更はローカルディスクに保存されます。

※オンデマンドプロビジョニング：指定した接続数に応じて、VDIの作成/削除を自動的に行う展開方法の一つ。削除の際は、Diskも削除されます。
ただし、[専用-単一セッション]では、削除が行われません。