Parallels RAS マルチテナントアーキテクチャについて

0 users found this article helpful

Applies to:
- Parallels Remote Application Server 19.1
- Parallels Remote Application Server 17.1
Last Review: Sep 28, 2023
Available Translations:
Get updates Download

対象ユーザー層

Parallels RAS 向けの顧客環境構造に精通している IT 担当者（システムアドミニストレーターなど）
既存の Parallels RAS 管理者
テナントの監視を行うサポートエンジニア

前提条件

Parallels RAS ファームの運用経験
顧客環境の規模に類似したスケールの Parallels RAS 環境の計画策定に精通していること
顧客のネットワーク構造に対する高度な理解

注: Parallels RAS マルチテナントアーキテクチャは、Parallels RAS v17.1 以降でのみ利用可能です。旧バージョンとの互換性はありません。

RAS マルチテナントアーキテクチャのメリット

Parallels RAS Secure Client Gateway および高可用性ロードバランサー（HALB）の削減によるコスト軽減
新しいテナント/顧客のより迅速な展開
マルチテナント環境向けに簡素化された集中管理
インフラストラクチャの共有でコストのスケーリングが可能になり、あらゆる規模の組織の運営コストを低減して市場訴求力を増大

用語およびアーキテクチャの説明

テナントは、ファームの技術的なサイトを指します。
テナントブローカーは、ホストが共有する Parallels RAS Secure Client Gateways の独立したファームです。
共有 Parallels RAS Secure Client Gateways は、リモートデスクトップ（RD）セッションホスト、VDI ゲスト、またはテナントファームのリモート PC に接続を提供します。
テナントオブジェクトは、テナントブローカーの Parallels RAS Console で、テナントブローカーファームに参加したあと、テナントを提示します。
テナントのテーマにより、各テナントの HTML5 ポータルおよび Parallels Client をブランディングできます。
管理 Publishing Agent（PA）は、テナントブローカーファームの主要な PA 向けです。

一般的な Parallels RAS マルチテナントアーキテクチャを以下の図に示します。

ユーザーの接続は、マネージドサービスプロバイダーによって割り当てられ、サブドメイン（Tenant_1.MSP.com など）として登録可能な、パブリックドメインアドレスに初期化する必要があります。代わりに、プライベートドメインアドレス（RAS.Tenant_2.com）を使用して、テナントブローカーファームで、Parallels RAS Secure Client Gateways にルーティングすることもできます。
この場合、外部ユーザーからパブリックドメインアドレスへの接続は、DMZ へのファイヤーウォールを経由して、マスター HALB（マスターが無効な場合はスレーブを利用可能）に渡されます。その後、別のファイヤーウォールを経由してテナントブローカーファームのいずれかの共有 RAS Secure Client Gateways に至ります。（HALB は、共有 SCG 間のロードバランスを管理します）。この時点で公開済みリソースのリストが作成されます。
該当の公開済みリソース（アプリケーション、デスクトップなど）の構成に応じて、サービスプロバイダーの VLAN を経由して、確立しているリモートセッション向け（デフォルトでは TCP/UDP 3389）の特定のテナントファームへの接続が行われます。
TCP 20002 ポートへの接続には 2 種類の方法が使用可能です。共有 Gateway は、テナントの Publishing Agents との通信、およびテナントブローカーファームの管理 Publishing Agents との通信に、このポートを使用します。

注: ポート TCP 20003 は、同期設定のために、テナント Publishing Agents から、テナントブローカーの管理 Publishing Agents へ外部接続を実行する場合にのみ必要となります。

機能の説明

ブローカーおよびテナントには、複数の Publishing Agent を含めることができます。それらの冗長性データベースは独立しています。
テナントは、基本的にお互いに通信することを前提としては設計されていません。マルチサイトのインフラストラクチャは除外されます。これは、単一のデータベースですべてのサイトの設定を保存して、潜在的な影響を抑えるためです。
テナントブローカーは、Parallels Clients 17.1 およびテナントファーム 17.1 とのみ互換性があります。
テナントは、それぞれ独自のゲートウェイを備えている場合があります。プライベートのテナントゲートウェイ向けのローカルゲートウェイの機能が変更されることはありません。
ブローカーのインフラストラクチャは、すべてのインターネット向けの接続に責任を負います。証明書は、ブローカー側で構成する必要があります。

既知の制限事項

テナントブローカーを動作させるため、まずテナントファームをブローカーに参加させる必要があります。
テナントでは、独自のドメインを使用することができます。テナントとテナントブローカーの間には、信頼済みの関係性は必要ありません。非ドメインファームも、ブローカーまたはテナントとして利用可能です。
テナント側で、ユーザー認証、多要素認証（MFA）、ポリシー、フィルタリングなどを実行できます。
テナントには、一意のパブリックドメインアドレスが必要です。ロードバランサーまたはゲートウェイへのトラフィックのルーティングは、Parallels RAS の対象外です。

Parallels RAS 接続図

この図のコンポーネント:

**RAS Client** — プラットフォーム独自の Parallels Client（Parallels Client for Windows）または HTML5 クライアント
**ロードバランサー** — **Parallels HALB** アプライアンスまたはサードパーティーのロードバランサー
**共有ゲートウェイ** — **テナントブローカーファーム**で動作する **RAS Secure Client Gateway**
**Private PA** — **テナントファーム**で動作する **RAS Publishing Agent**
**RDS ホスト** —公開済みリソース（**RD セッションホスト**、**仮想デスクトップ、**または**リモート** PC など）をホストしているサーバー

Was this article helpful?

Tell us how we can improve it.