接前一文档实现VMware Horizo​​n+负载均衡(AVI)(一),实现整体架构在单一地点单AVI控制器的VDI负载均衡情况, 安装步骤: 1.配置Horizon 8 桌面服务 2.配置Connection Server 的LB 3.配置UAG集成Connection Server 4.配置UAG 对外服务的LB

本文为第二部分完成3,4步骤

安装配置UAG并集成Connection Server

Unified Access Gateway(以前称为Access Point)是Horizo​​n Security Server的替代产品。优势包括:

  • 不需要为配对而构建额外的连接服务器。

  • 在Unified Access Gateway和Horizo​​n连接服务器之间,仅需要TCP443。不需要IPSec或4001或其他端口(仍然需要4172、22443等到View Agent)。

  • 无需在内部Horizo​​n Connection Server上启用网关/隧道。

  • DMZ身份验证可提高安全性,Unified Access Gateway支持的身份验证方法RSA SecurID,RADIUS,CAC/证书等。

Horizo​​n View Security Server已从Horizo​​n 2006(也称为Horizo​​n 8)中删除,包括以后版本。 UAG的版本最新为2012,下载页面在Horizon 8 2012中 在这里插入图片描述 这里提到的FIPS,即Federal Information Processing Standard,其公开出版140-2版本是美国政府标准。 FIPS基于1996年《信息技术管理改革法案》第5131节。它定义了IT产品中加密模块的最低安全要求。 所以我们在下载的时候要选择Non-FIPS版本。

安装UAG

直接在vCenter界面中导入ova文件,根据部署的拓扑图考虑使用多少个网口。在这里插入图片描述 UAG在实际使用中,至少用到三个网络:

  • 外部接入(一般为Internet)
  • 内部数据网络
  • 管理网络

在用户实际使用场景中,把UAG放入DMZ区域并只提供一个接口比较普遍。 在本实验中也采用这种架构。 在这里插入图片描述

由于此架构在路由上提供一个网关接口,需要对内部网络增加一个静态路由。在部署OVA文件时填入:172.100.0.0/16 10.105.130.1(本实验环境参数,172.100.0.0/16为数据网络,10.105.130.1为NSX-T网关)。 在这里插入图片描述

需要导入生成两次UAG,分别为uadg01和uag02。 有可能UAG启动后IP地址不正确或没有,通过一下办法解决:

  1. 重启UAG
  2. 使用vami_config_net命令,/opt/vmware/share/vamim目录下 在这里插入图片描述

配置UAG并集成Connection Server

1.登录UAG:https://<Your_UAG_IP>:9443/admin/index.html. 在这里插入图片描述 注意在后要加/admin 2.进入以后界面 在这里插入图片描述 选择手动配置。 3.进入Edge服务配置 在这里插入图片描述 4.选择Horizon设置 在这里插入图片描述 5.对Horizon进行配置。 在这里插入图片描述 注意事项

  • 连接服务器选择对是在中配置对LB服务IP地址;
  • 连接服务器URL指纹,由于使用了两台Connection Server,所以要填写两台。

方法如下:在这里插入图片描述 点击不安全连接> 在这里插入图片描述 点击更多信息 在这里插入图片描述 查看证书: 在这里插入图片描述 这里的SHA-1或SHA-256就是需要的指纹URL Thumbprint,然后在找到sc8-02的URL Thumbprint,都填入连接服务器都URL指纹里,格式为SHA-1=xx xx xx,之间用逗号隔开。 6. 网关位置选择:外部 在这里插入图片描述 7. 保存。 8. 在Horizon Connection Servers上, Secure Gateways (如PCoIP Gateway) 应该 disabled. 在这里插入图片描述

在这里插入图片描述 编辑选择的服务器 在这里插入图片描述 取消或disable所有的Tunnels/Gateways 在这里插入图片描述 9.必须为位于负载均衡器或负载均衡的网关后面的每个连接服务器执行以下过程,或者 disable Origin Check

过程

 - 在连接服务器主机的网关配置文件夹中创建或编辑 locked.properties 文件。 例如,
   install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties。 
 - 添加 balancedHost 属性并将其设置为负载平衡器地址。 例如,如果用户在浏览器中键入 https://view.example.com以访问任何负载均衡的连接服务器,请将 balancedHost=view.example.com 添加到locked.properties 文件中。 保存 locked.properties 文件。 
 - 重新启动连接服务器服务以使所做的更改生效。

实验中选择了 disable Origin Check: 在这里插入图片描述 10.增加UAG 到 Horizon Console 在UAG的管理界面,高级设置–>系统配置在这里插入图片描述 11.回到Connection Server的控制界面,注册UAG网关 在这里插入图片描述 12,重新使用客户端接入后检查会话连接情况。 在这里插入图片描述

重复1-11步骤增加第二台UAG的配置。

为UAG服务器配置负载均衡服务

在上面的部署中, 建立了两台uag,同时连接到内部Connection Server 的VIP地址,为10.105.130.35和36。

配置

在官方文档中对UAG的LB有明确的推荐,Avi Vantage for UAG Load Balancing

There are three ways to deploy Avi Vantage for UAG load balancing:

Single Virtual IP (VIP) with two virtual services
Single L4 virtual service
(n+1) VIP

选择第二种方式部署。 Virtual Services配置如下 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 注意Health Monitor:horizon-https的配置

在VS的界面可以查看到: VIP地址是10.105.130.46,域名为vdi-uag.avi.vmlab.local。 在这里插入图片描述

测试

在这里插入图片描述 在这里插入图片描述 成功!

参考资料:

Configure Avi Vantage for VMware Horizon

Step by Step Configure VMware Unified Access Gateway 20.12 (2012)

官方文档:部署和配置 VMware Unified Access Gateway

0%