VMware统一接入网关(又名接入点)3.2

导航

  • 概观
    • Firewall
  • 网络配置文件
  • 导入统一接入网关3.2 OVF
  • 基于Web的管理界面
  • 日志和故障排除
  • 负载均衡

概观

统一接入网关是VMware Access Point的新名称。

统一接入网关(以前称为接入点)是Horizo​​n Security Servers的替代品。优点包括:

  • 您不需要为配对而构建额外的连接服务器。但是,您可能需要额外的Horizo​​n Connection Server,以便您可以基于标签过滤池。
  • 在Unified Access Gateway和Horizo​​n Connection Server之间,您只需要TCP 443.不需要IPSec或4001或其他端口。您仍然需要4172,22443等到View Agents。
  • 无需在内部Horizo​​n Connection服务器上启用网关/隧道。
  • DMZ认证的附加安全性。统一接入网关支持的一些身份验证方法是RSA SecurID,RADIUS,CAC /证书等。

然而:

  • 它是Linux。您可以在没有任何Linux技能的情况下部署和配置设备。但在排除故障时,您可能需要一些Linux技能。

Horizo​​n View 安全管理服务器仍在开发和支持之中,因此欢迎您使用该服务器而不是Unified Access Gateway。但是一些较新的Blast Extreme功能仅适用于统一接入网关(接入点)2.9及更高版本。请参阅在VMware文档中配置Blast安全网关

有关详细信息,请参阅VMware博客安全远程访问Access Point技术简介

Horizo​​n 7.4支持Unified Access Gateway 3.2.0。请参阅兼容性表格以获取每个版本的最新兼容性数据。

从主VMware Horizo​​n 7.4下载页面下载Unified Access Gateway 3.2.0 。

防火墙

VMware技术白皮书Horizo​​n 7中的Blast Extreme显示协议以及  VMware Pubs中基于DMZ的统一接入网关设备的防火墙规则

将这些端口从Internet上的任何设备打开到统一接入网关负载平衡器VIP:

  • TCP和UDP 443(包括Blast Extreme)
  • TCP和UDP 4172. UDP 4172必须在两个方向上打开。(PCoIP的)
  • TCP和UDP 8443(用于HTML Blast)

从统一接入网关打开这些端口到内部:

  • TCP 443连接到内部连接服务器(通过负载均衡器)
  • TCP和UDP 4172(PCoIP)连接到所有内部Horizo​​n View Agent。UDP 4172必须在两个方向上打开。
  • TCP 32111(USB重定向)到所有内部Horizo​​n View Agent。
  • TCP和UDP 22443(Blast Extreme)连接到所有内部Horizo​​n View Agent。
  • TCP 9427(MMR和CDR)到所有内部Horizo​​n View Agent。

将这些端口从任何内部管理工作站打开到Unified Access Gateway设备IP:

  • TCP 9443(REST API)
  • TCP 80/443(Edge网关)

网络配置文件

  1. 在导入统一接入网关OVF之前,您需要配置网络配置文件。在vSphere Web Client中,转到Datacenter对象。在右侧,切换到管理(或配置)选项卡>网络协议配置文件
  2. 点击加号图标。

  3. 在“ 选择名称和网络”页面中,输入名称,为Unified Access Gateway设备选择DMZ VM网络,然后单击下一步

  4. 配置IPv4页面中,输入子网信息和网关。
  5. 不要配置IP池。点击下一步
  6. 准备完成页面中,单击完成
  7. 如果您要在统一接入网关上配置多个NIC,请为剩余的子网创建网络协议配置文件。

导入OVF

VMware社区的Mark Benson  使用PowerShell部署VMware Unified Access Gateway  具有运行OVF Tool的PowerShell脚本,可部署和配置Unified Access Gateway。PowerShell脚本随着更新版本的统一接入网关的发布而更新。这是部署Unified Access Gateway的推荐方法。

关于PowerShell脚本的一些说明:

  • 如果OVA路径中有空格,请不要在.ini文件中加入引号。脚本自动添加引号。
  • 对于  目标参数,请指定群集名称而不是主机。如果空格,则不需要引号。例如:
    target = vi://admin@corp.local:PASSWORD@vcenter02.corp.local/Datacenter/host/Cluster 1
  • 必须对vCenter密码中的特殊字符进行编码。使用URL编码器工具(例如  https://www.urlencoder.org/)对密码进行编码。然后在ovftool提示时粘贴编码的密码。UAG密码不需要编码,但是vCenter密码确实需要。

统一接入网关没有升级过程。您必须删除旧设备并部署一个新设备。要加速部署,请使用PowerShell部署脚本,或者从旧设备中导出设置并导入新设备。

使用VMware vSphere Web Client部署Unified Access Gateway:

  1. Horizo​​n 7.4支持Unified Access Gateway 3.2。请参阅兼容性表格以获取每个版本的最新兼容性数据。
  2. 从主VMware Horizo​​n 7.4下载页面下载Unified Access Gateway 3.2.0 。
  3. 在vSphere Web Client(Flash客户端,不是HTML5客户端)中,右键单击群集,然后单击部署OVF模板。

  4. 选择源页面中,浏览至下载的 euc-unified-access-gateway-3.2.0.ova文件,然后单击下一步

  5. 在   选择名称和位置页面中,给机器一个名称,然后单击  下一步
  6. 在  审阅详细信息页面中,单击  下一步
  7. 选择配置页面中,选择一个部署配置。请参阅  适用于VMware Unified Access Gateway的DMZ设计以及在VMware社区中使用多个NIC。点击下一步
  8. 在“  选择存储”页面中,选择一个数据存储,选择一种磁盘格式,然后单击  下一步
  9. 即使您选择单个NIC,OVF部署向导也会  要求您提供多个NIC。
  10. 在“ 自定义模板”  页面中,输入DNS地址,网关和子网掩码。向下滚动。
  11. 向下滚动并输入更多IP信息。
    1. STATICV4和一个静态IP。
    2. 对于DNS服务器,请输入它们之间的空格。
  12. 向下滚动。
  13. 输入统一网关设备名称,然后展开  密码选项部分。
  14. 向下滚动。展开密码选项并输入密码。然后点击  下一步
  15. 准备完成页面中,单击完成

UAG管理界面

  1. 打开Unified Access Gateway设备的电源。

    • 启动UAG 3.0时,它可能会要求您回答一个问题。选择  ,然后单击  确定
  2. 如果设备最初使用错误的IP进行引导,则重新引导可能会修复它。
  3. 在Unified Access Gateway和Access Point 2.8及更高版本中,您可以将浏览器指向  https:// My_AP_IP:9443 / admin / index.html,并以管理员身份登录  。
  4. 如果您之前已导出设置,则可以立即导入它。
  5. 或者,在右侧的手动配置下  ,单击  选择
  6. 边缘服务设置旁边  ,单击  显示
  7. Horizo​​n Settings旁边  ,点击齿轮图标。
  8. 启用Horizo​​n更改  为  
  9. 填写这些字段时,将鼠标悬停在信息图标上可查看语法。
  10. 在  连接服务器URL应指向您的内部连接的服务器的内部负载均衡DNS域名(网址)。

    1. 对于Connection Server URL Thumb打印,从内部Horizo​​n View证书获取指纹。将浏览器指向内部Horizo​​n View连接服务器FQDN(负载平衡),然后单击挂锁图标以打开证书。如果使用Chrome,则必须打开开发人员工具(F12),切换到安全选项卡,然后单击  查看证书。如果您没有看到“  安全”选项卡,请单击双右箭头。
    2. 详细信息选项卡上,复制指纹
  11. 在  代理目标URL缩略图字段中,输入  sha1=并粘贴证书指纹。
  12. 在指纹字段的开头,等号后面可能有一个隐藏的字符。按键盘上的箭头键找到它。然后删除隐藏的角色。
  13. 启用三个PCOIP,Blast和隧道网关并执行以下配置:
    1. 对于PCOIP外部URL,输入外部IP或外部FQDN和:4172。IP或FQDN应该指向您的外部负载均衡器,即将UDP 4172和TCP 4172负载平衡到多个统一接入网关。
    2. 对于Blast External URL,请输入https:// <FQDN>:443(例如https://view.corp.com:443)。此FQDN应解析为负载均衡UDP 443和TCP 443到多个统一接入网关的外部负载均衡器。
    3. 对于隧道外部URL,输入https:// <FQDN>:443(例如https://view.corp.com:443)。此FQDN应解析为负载均衡TCP 443到多个统一接入网关的外部负载均衡器。
    4. 外部负载均衡器必须能够跨多个端口号使用相同的持久性。在NetScaler上,此功能称为持久性组。在F5上,该功能称为匹配横跨
  14. 然后点击  更多
  15. 统一接入网关具有将转发到Horizo​​n Connection Server的路径的默认列表。您可以编辑  代理模式并添加  |/downloads(.*)到列表中,以便用户还可以下载存储在Horizo​​n View连接服务器上的Horizo​​n Client。多余的模式进入括号内。例如: (/|/downloads(.*))
  16. 向下滚动,完成后点击  保存
  17. 如果您单击Horizo​​n Settings旁边的箭头  ,则会显示Edge服务的状态。

    • 如果您看到的只是未配置,请刷新浏览器。
  18. 在您的Horizo​​n连接服务器中,应禁用网关(例如PCoIP网关)。
    1. 转到Horizo​​n Administrator。
    2. 展开查看配置,然后单击服务器
    3. 在右侧,切换到连接服务器选项卡。
    4. 突出显示您的连接服务器,并点击编辑
    5. 然后取消选中所有三个网关。
    6. 如果Horizo​​n 7,HTML Access无法通过统一访问网关工作,除非您禁用原始检查使用访问点地址配置连接服务器的 locked.properties 。另请参阅2144768  访问Horizo​​n View Administrator页面会在Horizo​​n 7中显示空白错误窗口
  19. 如果您希望Unified Access Gateway使用非AD方法(例如双因素)对用户进行身份验证,请启用  身份验证设置部分,并根据您的要求配置适当的设置。
  20. 密码在高级设置>系统配置下进行  配置

    • 系统日志也在这里配置。
  21. 向下滚动到  高级设置部分,在TLS服务器证书设置旁边  ,点击齿轮图标。
  22. 在Unified Access Gateway 3.2及更高版本中,您可以将证书应用于  Internet Interface,  Admin Interface或两者。
  23. 在统一接入网关3.0及更高版本中,将证书类型更改  为  PFX,浏览至PFX文件,输入密码。此PFX文件证书必须与Unified Access Gateway的公共FQDN(负载平衡)匹配。
  24. 别名字段留空。
  25. 点击  保存

  26. 如果您更改了管理界面证书,则系统会提示您关闭浏览器窗口并重新打开它。
  27. 或者,您可以上传PEM证书/密钥(这是旧UAG中的唯一选项)。在私钥旁边  ,点击  选择链接。

    1. 浏览到PEM密钥文件。如果未运行Unified Access Gateway 3.0或更高版本,则在Windows上创建的证书(PFX文件)必须先转换为PEM,然后才能与Unified Access Gateway一起使用。您可以使用  openssl命令执行此转换。私钥应该是未加密的。
    2. 浏览到包含服务器证书和任何中间证书的PEM证书文件(Base-64)。服务器证书在最上面,中间证书在它下面。服务器证书必须与统一接入网关的公共FQDN(负载平衡)匹配。
    3. 完成后点击  保存
  28. UAG 3.1添加了端点符合性检查功能。它需要一个OPSWAT订阅。OPSWAT代理被部署到带外端点。这是通过/失败。请参阅  VMware Docs中的端点符合性检查Horizo​​n。YouTube视频  端点符合性检查:新的VMware Horizo​​n安全功能

  29. 如果向下滚动到  支持设置,请单击导出统一接入网关设置旁边的图标将  设置保存到JSON文件。如果您需要重建统一接入网关,只需导入JSON文件即可。
  30. 如果您将浏览器指向Unified Access Gateway外部URL,则应该会看到Horizo​​n View Connection Server门户页面。Horizo​​n客户端还应该使用统一访问网关URL。

日志和故障排除

在接入点2.8和统一接入网关(2.9和更新版本)中,您可以从管理界面下载日志。

您也可以查看日志/opt/vmware/gateway/logs。您可以less从设备控制台执行这些日志。

或者,您可以将浏览器指向https:// MyApplianceIP:9443 / rest / v1 / monitor / support-archive。这将下载一个包含所有日志文件的.zip文件。在GUI文本编辑器中读取更容易。

对于初始配置问题,请查看admin.log

对于Horizo​​n View代理问题,请查看esmanager.log

默认情况下,UAG上未安装tcpdump。要安装它,请登录到控制台并运行 /etc/vmware/gss-support/install.sh

负载均衡

有关统一接入网关的VMware NSX负载平衡,请参见  VMware®NSX for vSphere终端用户计算设计指南1.2

发表评论

电子邮件地址不会被公开。 必填项已用*标注