RAS マルチテナントアーキテクチャを使用した標準的な Parallels RAS の展開環境を以下の図にまとめます。
ファイアウォールと HALB は DMZ にインストールされていて、各テナントが共有します。
テナントブローカーは、共有の RAS Secure Gateway と HALB をホストするための特別な RAS インストールであり、RAS のアクセスレイヤーも使用できます。テナントブローカーをインストールするには、Parallels RAS インストーラーで [Parallels RAS テナントブローカー] オプションを使用します。テナントブローカーは、専用ドメインにインストールすることも、ドメインの外にインストールすることもできます。
テナントファームは、オンプレミスの RAS 環境の場合と同じように展開され、テナントブローカーに接続します。各テナントファームには、独自の RAS Connection Broker と、公開リソース(VDI、RD セッションホスト、リモート PC)をホストするサーバーがあります。ローカルの RAS Secure Gateway と HALB は不要です(サードパーティのロードバランサーも不要です)。
テナントをテナントブローカーに接続すると、各テナントがテナントブローカーでテナントオブジェクトとして表示されます。
Parallels Client (プラットフォーム固有の Client また Web Client のいずれも)は、テナントブローカーで共有ゲートウェイに接続します。クライアントがユーザーポータルに接続すると、クライアントの所属先の対応するテナントのテーマが常に使用されます。
テナントブローカーを経由した RAS ユーザー接続の流れを以下の図にまとめます。
テナントブローカーにインストールされている共有の RAS Secure Gateway は、複数のテナントファームで複数のユーザーセッションを同時に処理できます。上の図では、2 人のユーザー(1 と 2)が別々のテナントファーム(テナント 1 ファームとテナント 2 ファーム)に接続しています。どちらの接続も同じゲートウェイでトンネリングされていますが、それぞれが正しいテナントファームに送られています。
この接続は以下の流れで進んでいきます。
(1A)、(2A) - ユーザーが、テナントブローカーに登録されているパブリックアドレスへの RAS 接続を開始します。(1A)接続はテナント 1 のパブリックアドレスに向かい、(2A)接続はテナント 2 のパブリックアドレスに向かいます。
(1B)、(1C) - 共有ゲートウェイが、最初の接続(1A、2A)で使用されていたホスト名に基づいて、ユーザー接続の転送先を決定します。その後、各クライアントが、それぞれのテナントファームの Connection Broker との RAS セッションを確立します。テナントの Connection Broker が、テナントの Active Directory に照らしてユーザーを認証します。その後、ユーザーが、自分で利用できる公開アプリケーションのリストを受け取ります。
(1D)、(2D) - ユーザーが、公開アプリケーションとのリモートユーザーセッションを開始します。共有ゲートウェイが、テナントの Connection Broker に対して、リモートセッション転送先のサーバーのアドレスを要求し、そのアドレスにセッションを転送します。
パブリックアドレスとテナントのマッピングは、テナントブローカーの Connection Broker が共有ゲートウェイで設定します。
RAS のマルチテナントアーキテクチャ実装の概要を以下にまとめます。
各テナントは、別々のファームまたはサイトとして展開されます。テナントをファームとして展開する場合は、各テナントが完全に独立していて、相互に通信することはまったくありません。テナントをサイトとして展開する場合は、各サイトが別々にテナントブローカーに接続する必要があります。
RAS Secure Gateway(ユーザーポータルも含む)や高可用性ロードバランサー(HALB)などは、共有リソースになります。
テナントファームには、独自の RAS Secure Gateway や HALB は不要です。ただし、内部接続のためにゲートウェイや HALB が必要なら、ゲートウェイや HALB を組み込んだ展開も可能です。例えば、内部接続と外部接続のために別々のポリシーを用意している場合は、ローカルユーザーに対応するためにゲートウェイや HALB をインストールできます。
テナントのネットワーク構成では、テナントの Connection Broker からテナントブローカーの Connection Broker への接続が必要になります。さらに、共有の RAS Secure Gateway も、公開リソースをホストしているサーバーやテナントの Connection Broker と通信する必要があります。ネットワークアーキテクチャの実装によっては、VLAN と VLAN の接続や VPN などが必要になることもあります。そのような通信については、ごく限られた数のポートを開くだけで十分です。完全なリストについては、「通信ポート」を参照してください。
テナントドメインとの通信は、常にローカルテナントの Connection Broker から実行され、テナントブローカーのインフラストラクチャから実行されることはありません。
各テナントには、固有のパブリックドメインアドレスが必要です。そのアドレスを割り当てる方法はいろいろあります。例えば、サーバープロバイダーがサブドメイン(Tenant1.Service-Provider.com など)を登録し、そのドメインをテナントに割り当てる、といった方法があります。また、プライベートドメインアドレス(RAS.Tenant1.com など)を使用し、テナントブローカーでそのルーティング先を RAS Secure Gateway にする、といった方法も考えられます。別々のパブリックドメインアドレスを同じ IP アドレスに解決することが必要なら、そうすることも可能です。
テナントをテナントブローカーに接続すると、共有の RAS Secure Gateway がテナントとテナント構成を認識し、テナントの RAS Connection Broker に接続できる状態になります。インターネットから RAS Secure Gateway (または HALB)に届くテナントの着信トラフィックのためのルートをテナントブローカーで設定する必要があります。
テナントブローカーには専用の RAS Console が付属しています。そのコンソールで、共有リソースやテナントオブジェクトや証明書を管理したり、テナントのパフォーマンスを監視したり、標準的な RAS 管理タスクを実行したりできます。
すべてのテナントのテーマがテナントブローカーで使用できるようになります。ユーザーが共有の RAS Secure Gateway を経由してテナントブローカーに接続すると、対応するテナントのテーマがユーザーに表示されます。
テナントごとに別々の SSL 証明書を使用することも可能です。
ライセンス
テナントブローカーにライセンスは要りません。ライセンスはテナントレベルで管理されています。
RAS バージョンの互換性
Parallels RAS のマルチテナントアーキテクチャは、Parallels RAS 17.1 以降で使用できます。それよりも古いバージョンの Parallels RAS を使用する場合は、以下の制限があります。
RAS 17.1 より古いバージョンの Parallels Client は、共有ゲートウェイとの互換性がないので、そのクライアントからテナントブローカー経由でテナントファームに接続することはできません。
RAS 17.1 より古いバージョンの Parallels RAS インストール環境は、テナントブローカーとの互換性がないので、テナントとして接続できません。