こんにちは。SB C&Sの石井です。
VMware製品のプリセールスSEチームに所属しており、VMware HorizonなどのVMware EUC製品を主に担当しています。
次世代DaaSアーキテクチャとして発表されたHorizon Cloud Service Next-genですが、昨年に一般提供が開始されました。
さらに、Horizon Cloud Service Next-genの一般提供に伴い、2023年6月に従来型Horizon Cloudの提供終了/サポート終了予定が発表されました。詳細につきましては、下記URLをご確認ください。
・End of Availability (EOA) and End of Life (EOL) Announcement of the Horizon Cloud Service First-Gen Control Plane (92424)
https://kb.vmware.com/s/article/92424
今回はHorizon Cloud Service Next-genの概要と、従来型のHorizon CloudとHorizon Cloud Service Next-genの違いについてご紹介します。
※ブログ作成時点(2023年7月11日)時点での情報となりますので、予めご了承ください。
Horizon Cloud Service Next-genとは
Horizon Cloud Service Next-genは、Project Titanと呼ばれる開発ネームで発表され、2022年の8月に一般提供が開始された次世代のHorizon Cloudです。次世代の意味で"Next-gen"と名称がついておりますが、ドキュメントによってはHorizon Cloud Service "V2"と表現されているケースもあります。また、この"V2"との対比の意味で、従来型のHorizon Cloudを"V1"と記載するケースもあります。
Horizon Cloudは、オンプレミスvSphereやAzure VMware Solution、VMware Cloud on AWS、ネイティブのAzureクラウドサービスといった、様々なプラットフォームでHorizonの仮想デスクトップ環境を構成できるクラウドサービスです。このコンセプトについては、Horizon Cloud Service Next-genにおいても変更はありません。
ただし、Horizon Cloud Service Next-genは、従来型のHorizon Cloudと比較するとコンポーネントなど様々な変更点があります。また、どこのインフラ環境でHorizonの仮想デスクトップ環境を構成していても、従来型のHorizon CloudとHorizon Cloud Service Next-genでは、アーキテクチャの変更による影響があります。
下図は、Horizon Cloud Service Next-genのサービスイメージです。
次の章からポイントをご紹介していきます。なお、vSphere仮想インフラ上に仮想デスクトップ環境を構成する「Horizon」と、ネイティブのAzureクラウドサービス上に仮想デスクトップ環境を構成する「Horizon Cloud on Microsoft Azure」では影響内容が異なりますので、章を分けてそれぞれご紹介致します。
従来型のHorizon Cloudとの変更点(Horizon)
まずは、Horizonの仮想デスクトップをオンプレミスvSphereやAzure VMware Solution、VMware Cloud on AWSなど、vSphere仮想インフラ上でHorizonを利用する際の変更点について説明します。
従来から、Horizon Cloud(Subscriptionライセンス)を利用する場合は、HorizonのConnection Serverのライセンスアクティベーションを目的とし、クラウドに準備されたHorizon Control Planeに通信するための仮想アプライアンスを構成する必要がありました。この仮想アプライアンスが、Horizon Cloud Service Next-genでは変更されています。
まず、従来型のHorizon Cloudでは、Horizon Control Planeと通信をするためにHorizon Cloud Connectorと呼ばれる仮想アプライアンスとして構築する必要がありました。
Horizon Cloud Connectorについての詳細は下記ブログをご確認ください。
Horizon Cloud Connector構築手順のご紹介
Horizon Cloud Service Next-genでは、Horizon Cloud Connectorが廃止され、新しくHorizon Edge Gatewayと呼ばれる仮想アプライアンスが必要になります。
Horizon Edge GatewayもHorizon Cloud Connectorと同様に、仮想アプライアンスに構築するという作業の点では変更はありません。ただし、構築時の手順が変更されています。Horizon Edge Gatewayを新たに構築する際は、はじめにHorizon Cloudの管理コンソールであるHorizon Universal Consoleにログインし、Horizon Edge Gatewayのパラメーターを入力します。その後、Horizon Edge GatewayアプライアンスのOVAファイルをダウンロードし、vSphere環境へデプロイする構築手順になっています。
構築手順等の詳細は下記URLのドキュメントからご確認ください。
・Horizon 8 のデプロイと Horizon Cloud - next-gen 制御プレーンで使用する Horizon 8 Edge のデプロイ
https://docs.vmware.com/jp/VMware-Horizon-Cloud-Service---next-gen/services/hzncloud.nextgen/GUID-EDA62396-F36E-4A01-8442-A57E7A62ECE2.html
従来型のHorizon Cloudとの変更点(on Microsoft Azure)
続いて、ネイティブのAzureクラウドサービス上に対して仮想デスクトップ環境を構成する、Horizon Cloud on Microsoft Azureの変更点について紹介します。
コンポーネントの変更
従来型のHorizon Cloudでは、Azure上にUnified Access Gatewayやロードバランサ、仮想デスクトップへの接続を管理するPod Manager、そしてPod ManagerのデータベースとしてPostgreSQLが展開されていました。
従来型のHorizon Cloud on Microsoft Azureのアーキテクチャは、下記URLをご確認ください。
VMware Horizon Cloud on Microsoft Azureとは?
Horizon Cloud Service Next-genでHorizon Cloud on Microsoft Azureを利用する場合は、必要となるコンポーネントが大きく変更されています。
まず、従来Azureインフラ上で構成されていたPod Managerとデータベース(PostgreSQL)が不要になりました。Pod Managerとデータベース(PostgreSQL)が担っていた役割は、Horizon Control Planeによってクラウドサービスとして提供される形に変更されています。また、Horizon Control Planeと管理通信を行う役割を担う新たなコンポーネントとして、Horizon Edge Gatewayと呼ばれるサービスがAzure Kubernetes Serviceを使用して構成されます。
さらに、大きなコンポーネントの変更点として、Horizon Cloud Service Next-genは、IdPの利用が必須となっています。そのため、Workspace ONE AccessまたはMicrosoft Azure Active Directoryの連携が必要になります。また、この様なIdPとActive Directory間でディレクトリ同期をするためにConnectorサーバー(Workspace ONE Access Connector / Azure AD Connectなど)を構成する必要がある点にも注意が必要です。
逆に変更がない点としては、利用者が仮想デスクトップへ接続する際のゲートウェイ機能を提供する、Unified Access Gatewayやロードバランサは従来型の構成と同様に展開されます。また、Active Directoryサーバーの準備も基本的には引き続き必要となります。
下記構成図は、Horizon Cloud Service Next-genにおけるHorizon Cloud on Microsoft Azureのイメージ図です。それぞれのコンポーネントの概要を紹介します。
- Horizon Control Plane
デスクトップの管理や制御を担うコンポーネントです。VMwareがクラウドサービスとして提供しているため、自身で構築する必要はありません。また、管理や制御だけでなくデスクトップのイメージ作成やプールの作成、ドメインやIdPとの統合などの設定を行うWebベースの管理コンソール(Horizon Universal Console)も提供されています。 - Unified Access Gateway
仮想デスクトップやRDSHを使用した公開アプリケーション/公開デスクトップへの安全なアクセスを実現するゲートウェイ機能を提供します。複数のUnified Access Gatewayが自動的にAzure上に構成されるため、ロードバランシング機能を提供するAzure Load Balancerも構成されます。 - Horizon Edge Gateway
デスクトップの監視やUnified Access Gatewayの監視・管理、シングルサインオンを実現するためにIdPやActive Directoryとの認証の処理を実行するための通信を提供します。このHorizon Edge GatewayはAzure Kubernetes Serviceで構成されています。 - 仮想デスクトップ/RDSファーム
エンドユーザーがアクセスする仮想デスクトップやRDSHを使用した公開アプリケーション/公開デスクトップです。 - Workspace ONE Access
Horizon Cloud Service Next-genでは、エンドユーザーのID管理をするためにIdPの利用が必須になります。上記ではWorkspace ONE Accessを例にあげていますが、Microsoft Azure Active Directoryを利用することも可能です。 - Workspace ONE Access Connector
Active Directoryとディレクトリ同期をする際に使用します。Windows Server OSをインストールしたマシン上に構成をしますが、Active Directoryと同じマシンに構成はできません。(IdPにMicrosoft Azure Active Directoryを使用する場合は、Azure AD Connectを構成します。) - Active Directory
Horizon Cloud Serviceでは、ユーザーIDとマシンIDを別のコンポーネントで構成します。ユーザーIDは前述のWorkspace ONE AccessやMicrosoft Azure Active Directoryで管理をし、マシンIDはActive DirectoryやMicrosoft Azure Active Directoryで管理を行います。
接続フローの変更
従来型のHorizon Cloud on Microsoft Azureでは、エンドユーザーがUnified Access Gatewayに直接アクセスを行い、認証と仮想デスクトップへの接続を行うことができました。
Horizon Cloud Service Next-genのHorizon Cloud on Microsoft Azureの場合は、エンドユーザーがUnified Access Gatewayへ直接アクセスすることができなくなりました。
エンドユーザーがHorizonへ接続するためには、まずHorizon Control Planeに内包されたUniversal Brokerにアクセスします。Universal Brokerへの接続後、ユーザーの認証を行う為に連携されているIdP(Workspace ONE AccessまたはMicrosoft Azure Active Directory)にリダイレクトされます。IdPによるユーザーの認証後は、エンドユーザーに割り当てられている該当の仮想デスクトップへアクセスするため、従来通りUnified Access Gatewayを経由してデスクトップ環境へ接続されます。
このようなインターネットを介した接続フローになるため、Horizon Cloud Service Next-genのHorizon Cloud on Microsoft Azureを利用する際は、エンドユーザーのインターネット通信が必須となる点に注意が必要です。
画面転送プロトコル
従来型のHorizon Cloudでは「Blast Extreme」「PCoIP」「RDP」の3つの画面転送プロトコルがサポートされていました。しかし、Horizon Cloud Service Next-genのHorizon Cloud on Microsoft Azureの場合は、「PCoIP」と「RDP」のサポートがされなくなりました。そのため、従来型のHorizon Cloudで「PCoIP」および「RDP」を使用している場合は、Horizonの接続端末の変更やネットワークポートの変更等が必要になります。
新しいバージョンのHorizon Clientが必要
Horizon Cloud Service Next-genのHorizon Cloud on Microsoft Azureを利用する場合は、新しいHorizon Clientバージョンが必要になるので注意が必要です。例えばWindowsで利用する場合は、Horizon Client 2209以降のバージョンが必要になります。
サポートされるHorizon Clientの詳細につきましては下記URLをご確認ください。
・Horizon Client Feature Matrix for Horizon 8 and Horizon Cloud on Azure (80386)
https://kb.vmware.com/s/article/80386
Horizon Universal Consoleの変更点
vSphere仮想インフラ上でHorizonを利用する際の変更点と、Horizon Cloud on Microsoft Azureとして利用する際の変更点についてそれぞれ紹介しました。ここからは、どちらの利用でも使用されるHorizon Universal Consoleの変更点について紹介します。
オンボーディング方法の変更
従来型のHorizon Cloudではライセンス契約後に「Welcome to the VMware Horizon Service」といった件名のアクティベーションメールが届きました。Horizon Cloud Service Next-genでは「Welcome to Workspace ONE & Horizon Cloud!」といった件名のアクティベーションメールに変更されています。サービスの仕様上、Horizon Cloudの契約のみでもWorkspace ONEの記述が追加される様になっていますので、関係のないメールと思って見逃してしまわないようにご注意ください。
管理コンソールへの接続方式の変更
従来型のHorizon Cloudでは、Horizon Cloudの管理コンソールである「Horizon Universal Console」に直接アクセスができました。しかし、Horizon Cloud Service Next-genでは、下記3つの管理コンソールを経由してHorizon Universal Consoleにアクセスする必要があります。
さらに、従来型のHorizon CloudとHorizon Cloud Service Next-genでは、Horizon Universal Consoleの管理画面が変更され、別の管理コンソールとして提供されています。管理コンソールの変更に伴い、若干の機能差があります。Horizon Cloud Service Next-genの新しい管理コンソールでは、モニタリングやダッシュボードなどがHorizon Universal Consoleから確認できなくなり、Workspace ONE Intelligenceと呼ばれる別のコンポーネントで確認できるようになります。ただし、従来型のHorizon Cloudと全く同じダッシュボードが確認できるわけではないので、運用面の変更が発生する点にご注意ください。
Horizon Cloud Service Next-genへの移行
本章では、アーキテクチャの変更点が多いHorizon Cloud on Microsoft Azureの環境を、Horizon Cloud Service Next-genへ移行する方法についてご紹介します。
Horizon Cloud on Microsoft Azureの移行を行う場合は、必要となるコンポーネントやアーキテクチャは変更されているため、移行時の影響度が大きくなります。VMwareは、Horizon Cloud on Microsoft Azureの移行ツールとして、セルフマイグレーションツールを公開しています。
詳細は、下記URLをご確認ください。
・第 1 世代の Horizon Cloud on Microsoft Azure デプロイから Horizon Cloud Service - next-gen へのセルフサービスの移行
https://docs.vmware.com/jp/VMware-Horizon-Cloud-Service---next-gen/services/migration/GUID-12924E8A-5E94-4163-8368-C987BD62E863.html
ただし、現時点ではセルフマイグレーションツールにはいくつか条件があります。例えば内部UAGが構成されていたり、複数のHorizon Cloud on Microsoft Azureポッドを持つテナントが構成されていたりする場合はセルフマイグレーションツールを使用できません。
その他の条件など詳細については下記URLをご確認ください。
・現在の主な除外と特殊なケースのシナリオ
https://docs.vmware.com/jp/VMware-Horizon-Cloud-Service---next-gen/services/migration/GUID-0D31132D-B337-4E71-B272-B8FAFE4EEE61.html
セルフマイグレーションツールを使用できないケースにおいて現時点の対応方法としては、既存の従来型Horizon Cloud on Microsoft Azureとは別に、Horizon Cloud Service Next-genのHorizon Cloud on Microsoft Azureを構成し、必要なデータや仮想マシンを手動移行していく方法となります。
また、セルフマイグレーションツール・手動移行、どちらの方法においても、移行作業中は従来型のHorizon CloudとHorizon Cloud Service Next-genの環境が並行運用する必要があるため、普段のAzure利用料金より金額が増えてしまう点にも注意が必要です。
Horizon Cloud on Microsoft Azureの移行については、作業を計画・開始する前に当社営業担当、もしくはVMwareにご相談いただく事をお勧めいたします。
まとめ
Horizon Cloud Service Next-genでは、従来型のHorizon Cloudと大きく変わる点があるため影響度が高いかと思います。特に、Horizon Cloud on Microsoft Azureをご利用中の場合は、移行作業について考慮が必要な点が多くあるため注意が必要です。
本ブログが、Horizon Cloud Service Next-genを利用する上での参考となれば幸いです。
製品情報はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
石井 基久 - Motohisa Ishii -
VMware vExpert