Im Folgenden wird ein Überblick über die Implementierung der mandantenfähigen RAS-Architektur gegeben:
Mandanten werden als getrennte einzelne Serverfarmen oder Sites bereitgestellt. Mandanten, die als getrennte Serverfarmen eingesetzt werden, sind völlig unabhängig und kommunizieren nie miteinander. Wenn Mandanten als Sites eingesetzt werden, muss jede Site separat dem Mandantenmakler beitreten.
Zu den gemeinsam genutzten Ressourcen gehören RAS Secure Gateways (einschließlich Nutzerportal) und High Availability Load Balancers (HALB).
Eine Mandantenfarm braucht keine eigenen RAS Secure Gateways und keinen HALB. Bereitstellungen mit Gateways und HALB sind jedoch möglich, wenn Sie diese für interne Verbindungen benötigen. Wenn Sie beispielsweise unterschiedliche Richtlinien für interne und externe Verbindungen haben, sollten Sie ein Gateway und einen HALB installieren, um lokale Benutzer zu bedienen.
Die Netzwerkkonfiguration eines Mandanten erfordert eine Verbindung zwischen dem Connection Broker des Mandanten und dem Connection Broker des Mandantenmaklers. Zusätzlich müssen gemeinsam genutzte RAS Secure Gateways mit Servern, die veröffentlichte Ressourcen hosten, und dem Connection Broker des Mandanten kommunizieren. Abhängig von der implementierten Netzwerkarchitektur kann eine VLAN-zu-VLAN-Konnektivität, VPN usw. erforderlich sein. Für diese Kommunikation ist nur eine begrenzte Anzahl offener Ports erforderlich. Eine komplette Liste finden Sie unter Kommunikationsschnittstellen.
Die Kommunikation mit einer Mandantendomäne wird immer von einem lokalen Mandanten-Verbindungsmakler durchgeführt und niemals von der Infrastruktur des Mandantenmaklers.
Jeder Mandant muss über eine eindeutige öffentliche Domänenadresse verfügen, die auf verschiedene Weise zugewiesen werden kann. Beispielsweise kann ein Dienstanbieter eine Subdomäne (z. B. Mandant1.Dienstanbieter.com) registrieren und diese einem Mandanten zuweisen. Ein anderer Ansatz könnte die Verwendung einer privaten Domänenadresse (z. B. RAS.Mandant1.com) und deren Weiterleitung an RAS Secure Gateways im Mandantenmakler sein. Beachten Sie, dass verschiedene öffentliche Domänenadressen bei Bedarf auf die gleiche IP-Adresse aufgelöst werden können.
Wenn ein Mandant mit dem Mandantenmakler verbunden wird, werden gemeinsam genutzte RAS Secure Gateways auf den Mandanten und seine Konfiguration aufmerksam und können sich mit dem/den RAS Connection Broker(n) des Mandanten verbinden. Im Mandantenmakler muss eine Route für den eingehenden Datenverkehr des Mandanten aus dem Internet zu RAS Secure Gateways (oder HALB) festgelegt werden.
Der Mandantenmakler wird mit einer eigenen RAS-Konsole geliefert, mit der Sie gemeinsam genutzte Ressourcen, Mandantenobjekte und Zertifikate verwalten, die Leistung der Mandanten überwachen und Standard-RAS-Administrationsaufgaben durchführen können.
Alle Mandantendesigns werden im Mandantenmakler verfügbar gemacht. Wenn sich der Benutzer über ein gemeinsames RAS Secure Gateway im Mandantenmakler verbindet, wird dem Benutzer das entsprechende Mandantendesign präsentiert.
Für verschiedene Mandanten können unterschiedliche SSL-Zertifikate verwendet werden.
Lizenzierung
Der Mandantenmakler benötigt keine Lizenz. Die Lizenzen werden auf Mandantenebene verwaltet.
Kompatibilität der RAS-Version
Die mandantenfähige Parallels RAS-Architektur ist in Parallels RAS 17.1 und neuer verfügbar. Die folgenden Einschränkungen gelten bei der Verwendung älterer Versionen von Parallels RAS:
Parallels Clients vor Version RAS 17.1 sind nicht mit gemeinsam genutzten Gateways kompatibel und können daher nicht für die Verbindung zu einer Mandantenfarm über den Mandantenmakler verwendet werden.
Parallels RAS-Installationen vor RAS 17.1 sind nicht mit dem Mandantenmakler kompatibel und können nicht als Mandant angemeldet werden.
Das folgende Diagramm veranschaulicht eine typische Parallels-RAS-Bereitstellung, die die mandantenfähige RAS-Architektur verwendet.
Firewalls und HALB sind in einer DMZ installiert und werden von den Mandanten gemeinsam genutzt.
Der Mandantenmakler ist eine spezielle RAS-Installation, die gemeinsam genutzte RAS Secure Gateways und HALB hostet und auch die RAS-Zugriffsschicht nutzen kann. Der Mandantenmakler wird mit der Option Parallels RAS Mandantenmakler im Parallels RAS-Installationsprogramm installiert. Der Mandantenmakler kann in seiner eigenen Domäne oder außerhalb einer Domäne installiert werden.
Mandantenfarmen werden genauso wie traditionelle RAS-Umgebungen vor Ort eingesetzt und mit dem Mandantenmakler verbunden. Jede Mandantenfarm hat ihre eigenen RAS Connection Broker und Server, die die veröffentlichten Ressourcen hosten (VDI, RD-Sitzungshosts oder PCs). Es werden keine lokalen RAS Secure Gateways und HALB (oder Load Balancer von Drittanbietern) benötigt.
Mandanten werden mit dem Mandantenmakler verbunden und jeder Mandant wird im Mandantenmakler als Mandantenobjekt dargestellt.
Parallels Clients (sowohl plattformspezifische als auch Web) stellen eine Verbindung zu gemeinsam genutzten Gateways im Mandantenmakler her. Wenn sich ein Client mit einem Nutzerportal verbindet, wird immer ein Design des entsprechenden Mandanten verwendet, je nachdem, zu welchem Mandanten der Client gehört.
Das folgende Diagramm veranschaulicht den Ablauf der RAS-Benutzerverbindung durch den Mandantenmakler:
Im Mandantenmakler installierte gemeinsam genutzte RAS Secure Gateways sind in der Lage, mit mehreren gleichzeitigen Benutzersitzungen in mehreren Mandantenfarmen zu arbeiten. Im obigen Diagramm sehen Sie zwei Benutzer (1 und 2), die sich mit verschiedenen Mandanten-Serverfarmen verbinden (Mandant 1 und Mandant 2). Beide Verbindungen werden durch dasselbe Gateway getunnelt und dann an die richtige Mandantenfarm geleitet.
Der Verbindungsablauf besteht aus den folgenden Schritten:
(1A), (2A) – Ein Benutzer beginnt eine RAS-Verbindung zu einer öffentlichen Adresse, die im Mandantenmakler registriert ist. Die (1A)-Verbindung geht an die öffentliche Adresse von Mandant 1; die (2A)-Verbindung geht an die öffentliche Adresse von Mandant 2.
(1B), (1C) – Das gemeinsam genutzte Gateway trifft eine Entscheidung, wohin eine Benutzerverbindung weitergeleitet werden soll, basierend auf einem Hostnamen, der in der ursprünglichen Verbindung verwendet wurde (1A, 2A). Danach richtet jeder Client eine RAS-Sitzung mit einem Connection Broker seiner jeweiligen Mandantenfarm ein. Der Connection Broker des Mandanten authentifiziert den Benutzer gegenüber dem Active Directory des Mandanten. Danach erhält der Benutzer die Liste der veröffentlichten Anwendungen, die ihm zur Verfügung stehen.
(1D), (2D) – Ein Benutzer startet eine Remotebenutzersitzung zu einer veröffentlichten Anwendung. Das gemeinsam genutzte Gateway fordert vom Connection Broker des Mandanten die Adresse eines Servers an, um die Remotesitzung an diesen weiterzuleiten.
Die Zuordnung der öffentlichen Adressen zu den Mandanten wird auf gemeinsam genutzten Gateways durch den Connection Broker des Mandantenmaklers konfiguriert.