部署 Unified Access Gateway VMware UAG 3.5

概观

unified access gateway（以前称为access point）是horizo​​n security server的替代品。优点包括：

• 您不需要为配对构建额外的连接服务器。但是，您可能需要额外的horizo​​n connection server，以便可以根据标记过滤池。
• 在unified access gateway和horizo​​n connection server之间，您只需要tcp 443.无需ipsec或4001或其他端口。您仍然需要4172,22444等视图代理。
• 无需在内部horizo​​n连接服务器上启用网关/隧道。
• 使用dmz身份验证的附加安全性 unified access gateway支持的一些身份验证方法是rsa securid，radius，cac /证书等。

然而：

• 这是linux。您可以在没有任何linux技能的情况下部署和配置设备。但是在故障排除期间您可能需要一些linux技能。

仍然开发和支持horizo​​n view security server，因此欢迎您使用它而不是unified access gateway。但是一些较新的blast extreme功能仅适用于统一接入网关（access point）2.9及更高版本。请参阅在vmware docs上配置blast secure gateway。

有关安全远程访问接入点的技术简介，请访问 vmware博客。

horizo​​n兼容性 - 有关每个版本的unified access gateway的最新兼容性数据，请参阅兼容性列表。

• horizo​​n 7.7和horizo​​n 7.8支持unified access gateway 3.5。horizo​​n 7.5不支持它。
  • 统一接入网关3 5深度潜水 youtube视频
•  horizo​​n 7.5和horizo​​n 7.6支持unified access gateway 3.3.2.0。

uag版本 - 统一接入网关（uag）3.4更新版本有三个版本 - 标准版，高级版和企业版。uag 3.5删除了这些版本。uag 3.3从未有过版本。要避免版本，请不要部署uag 3.4。

vmware unified access gateway的新增功能3.3.1  vmware techzone博客文章

• 从cli重置管理员密码
• 用于审核事件的syslog
• 可定制的安全标头 - 例如内容安全策略
• 将saml属性作为http标头传递
• powershell支持内容网关和身份桥接
• 管理员门户允许您编辑每个nic的网络设置

对于horizo​​n 7.8，请下载unified access gateway 3.5。您通常需要非fips版本。

对于horizo​​n 7.5（esb），请下载unified access gateway 3.3.2.0  （esb）。您通常需要非fips版本。

在同一uag下载页面上查找powershell部署脚本。

火墙

vmware技术白皮书在horizo​​n 7中展示极端显示协议，以及  vmware pubs中基于dmz的统一接入网关设备的防火墙规则。

从internet上的任何设备打开这些端口到unified access gateway load balancer vip：

• tcp和udp 443（包括blast extreme）
• tcp和udp 4172.必须在两个方向上打开udp 4172。（pcoip的）
• tcp和udp 8443（适用于html blast）

从unified access gateway到内部打开这些端口：

• tcp 443到内部连接服务器（通过负载均衡器）
• 所有内部horizo​​n view agent的tcp和udp 4172（pcoip）。必须在两个方向上打开udp 4172。
• tcp 32111（usb重定向）到所有内部horizo​​n view agent。
• 所有内部horizo​​n view agent的tcp和udp 22443（blast extreme）。
• 所有内部horizo​​n view agent的tcp 9427（mmr和cdr）。

从任何内部管理员工作站打开这些端口到unified access gateway设备ip：

• tcp 9443（rest api）
• tcp 80/443（边缘网关）

网络资料

注意：在unified access gateway 3.3及更高版本中，不再需要网络协议配置文件，您可以跳过本节。

1. 在导入unified access gateway ovf之前，您需要配置网络配置文件。在vsphere web client中，转至datacenter对象。在右侧，切换到“ 管理”（或“配置”）选项卡>“网络协议配置文件”。
2. 单击加号图标。
   
    
   
3. 在“ 选择名称和网络”页面中，输入名称，为unified access gateway设备选择dmz vm网络，然后单击“ 下一步”。
   
    
   
4. 在“ 配置ipv4”页面中，输入子网信息和“网关”。
5. 不要配置ip池。单击下一步。
   
6. 在“ 准备完成”页面中，单击“ 完成”。
   
7. 如果要在unified access gateway上配置多个nic，请为其余子网创建网络协议配置文件。

导入ovf

vmware社区中的mark benson  使用powershell部署vmware unified access gateway  有一个powershell脚本，可运行ovf工具来部署和配置unified access gateway。随着更新版本的统一访问网关的发布，powershell脚本会更新。这是部署unified access gateway的推荐方法。

在uag 3.3.1.0及更高版本中，powershell部署脚本可从uag 3.5  或  uag 3.3.2.0下载页面下载。
 

有关powershell脚本的一些注意事项：

• 如果ova路径中包含空格，请不要在.ini文件中包含引号。该脚本会自动添加引号。
• 对于  target参数，请指定群集名称而不是主机。如果是空格，则不需要引号。例如：

target = vi：//admin@corp.local：password@vcenter02.corp.local/datacenter/host/cluster 1

• 必须对vcenter密码中的特殊字符进行编码。使用url编码器工具（例如  url encode and decode - online）对密码进行编码。然后在ovftool提示时粘贴编码的密码。uag密码不需要编码，但vcenter密码可以。
  

unified access gateway没有升级过程。您必须删除旧设备并部署新设备。要加速部署，请使用powershell部署脚本，或从旧设备导出设置并导入新设备。

升级

要从旧设备升级，请删除旧设备，然后导入新设备。在删除旧设备之前，请导出您的设置：

1. 通过https：// <your_uag_ip>：9443 / admin / index.html登录uag  。
2. 在“  手动配置”部分中，单击“  选择”。
   
3. 向下滚动到“  支持设置”部分，然后单击“ 导出unified access gateway设置”旁边的“ json”按钮  。
   

部署

要使用vmware vsphere client部署unified access gateway，请执行以下操作：

1. 有关每个版本的最新兼容性数据，请参阅兼容性矩阵。
2. horizo​​n 7.8和horizo​​n 7.7支持unified access gateway 3.5，但horizo​​n 7.5不支持。
   • 下载unified access gateway 3.5.0。您通常需要非fips版本。
     
3.  horizo​​n 7.5.1和horizo​​n 7.6支持unified access gateway 3.3.2.0。
   • 下载unified access gateway 3.3.2.0。您通常需要非fips版本。
     
4. 在vsphere client中，右键单击群集，然后单击“ 部署ovf模板”。注意：vsphere 6.5 update 2及更高版本中的html5 ui客户端可能适用于单个nic。但是只有flash ui支持多nic（在评论中来源=  hilko lantinga）
   
    
   
5. 选择本地文件。在“ 选择源”页面中，浏览到下载的  euc-unified-access-gateway-3.5.0.0.ova文件，然后单击“ 下一步”。
   
    
   
    
   
6. 在“ 选择名称和位置”页面中，为计算机命名，然后单击“  下一步”。
   
    
   
7. 在  review details页面中，单击  next。
   
8. 在“ 选择配置”页面中，选择“部署配置”。请参阅  适用于vmware unified access gateway的dmz design以及在vmware社区中使用多个nic。单击下一步。
   
    
   
9. 在“  选择存储”页面中，选择数据存储，选择磁盘格式，然后单击“  下一步”。
   
    
   
10. 即使您选择单个nic，ovf部署向导也会  要求您提供多个nic。uag通常进入dmz。
    
11. 在“ 自定义模板”页面中，选择“ staticv4”，然后向下滚动。注意：html5 ui客户端以与flash vsphere client不同的顺序显示设置。
    
12. 在nic1（eth0）ipv4地址字段中，输入nic1（eth0）ipv4地址。向下滚动。
    
13. 输入dns地址，网关和子网掩码。向下滚动。
    
     
    
14. 向下滚动并输入更多ip信息。
    1. staticv4和静态ip。
    2. 对于dns服务器，请输入它们之间的空格。
15. 向下滚动。
    
16. 输入unified gateway设备名称。
    
17. 然后展开“  密码选项”部分。
    
18. 向下滚动。展开“ 密码选项”，然后输入密码。
    
     
    
19. 在uag 3.5及更新版本中，有一个启用s​​sh的新字段。
    
20. 单击下一步。
21. 在“ 准备完成”页面中，单击“ 完成”。
    

uag管理界面

1. 打开unified access gateway设备的电源。
   
   • 启动uag 3.0时，它可能会要求您回答问题。选择  否，然后单击“  确定”。
     
      
     
2. 如果设备最初使用错误的ip引导，则重新引导可能会修复它。
   
3. 在unified access gateway和access point 2.8及更高版本中，您可以将浏览器指向  https：// my_ap_ip：9443 / admin / index.html，然后以admin身份登录  。
   

导入设置

1. 如果先前已导出设置，则可以通过单击“ 导入设置”部分中的“ 选择 ”立即导入设置。
   
2. 浏览到先前导出的uag_settings.json文件，然后单击“ 导入”。
   
3. 应该说  uag设置已成功导入。
   
4. 按键盘上的<f5>键刷新浏览器。

配置horizo​​n设置

1. 要手动配置设备，在  手动配置，单击  选择。
   
2. 在边缘服务设置旁边  ，单击“  显示”。
   
3. 在“ 地平线设置”旁边  ，单击齿轮图标。
   
4. 将启用地平线更改  为  是。
   
5. 填写这些字段时，将鼠标悬停在信息图标上以查看语法。
6. 在  连接服务器url应指向您的内部连接的服务器的内部负载均衡dns域名（网址）。

   

   1. 对于连接服务器url thumb打印，从内部horizo​​n view证书获取指纹。将浏览器指向内部horizo​​n view连接服务器fqdn（负载平衡），然后单击挂锁图标以打开证书。如果使用chrome，则必须打开开发人员工具（f12），切换到“ 安全”选项卡，然后单击“  查看证书”。如果没有看到“  安全”选项卡，请单击双右箭头。

      

   2. 在“ 详细信息”选项卡上，复制指纹。

      

7. 在“  代理目标url thumb prints”字段中，键入  sha1=并粘贴证书指纹。
8. 在thumbprint字段的开头，紧跟在等号后面，可能存在隐藏字符。按键盘上的箭头键找到它。然后删除隐藏的字符。

   

9. 启用三个pcoip，blast和tunnel网关并执行以下配置：
   1. 对于pcoip外部url，请输入外部ip或外部fqdn和:4172。ip或fqdn应指向负载均衡udp 4172和tcp 4172到多个统一接入网关的外部负载均衡器。
   2. 对于blast外部url，请输入https：// <fqdn>：443（例如https://view.corp.com:443）。此fqdn应解析为负载均衡udp 443和tcp 443到多个统一访问网关的外部负载均衡器。
      • 链接：在vmware讨论中通过uag对blast进行故障排除
   3. 对于tunnel external url，请输入https：// <fqdn>：443（例如https://view.corp.com:443）。此fqdn应解析为负载平衡tcp 443到多个统一访问网关的外部负载平衡器。
   4. 外部负载平衡器必须能够跨多个端口号使用相同的持久性。在netscaler上，此功能称为持久性组。在f5上，该功能称为match across。
10. 然后点击  更多。

    

11. unified access gateway具有将转发到horizo​​n connection server的默认路径列表。您可以编辑  代理模式并添加  |/downloads(.*)到列表中，以便用户还可以下载存储在horizo​​n view连接服务器上的horizo​​n client。额外的模式在括号内。例如： (/|/view-client(.*)|/portal(.*)|/appblast(.*)|/downloads(.*))

    

12. 向下滚动，完成后单击“  保存”。

    

13. 如果单击“ horizo​​n settings”旁边的箭头  ，则会显示edge服务的状态。

    

    • 如果您看到的所有内容都未配置，请刷新浏览器，然后单击“ 刷新状态”图标。

      

14. 在horizo​​n connection server中，应禁用安全网关（例如pcoip网关）。
    1. 转到horizo​​n console或horizo​​n administrator。
    2. 展开设置，然后单击服务器。或者展开“ view configuration”，然后单击“ servers”。

       

        

       

    3. 在右侧，切换到名为connection servers的选项卡  。

       

        

       

    4. 突出显示连接服务器，然后单击“ 编辑”。

       

        

       

    5. 然后取消选中或禁用所有三个隧道/网关。

       

        

       

    6. 如果horizo​​n 7，html access将无法通过unified access gateway工作，除非您禁用原始检查或使用uag地址配置连接服务器的  locked.properties 。另请参阅2144768  访问horizo​​n view administrator页面会在horizo​​n 7中显示空白错误窗口。

       

将uag添加到horizo​​n administrator

在horizo​​n 7.7及更高版本中，您可以将uag 3.4及更高版本添加到horizo​​n administrator，以便在仪表板中检查其状态。

1. 在uag管理控制台的“  高级设置”下，单击“ 系统配置”旁边的齿轮图标  。

   

2. 在页面顶部，将uag名称更改为友好名称。您稍后将使用此名称。

   

3. 单击  页面底部的“ 保存 ”。

   

4. 在horizo​​n console的左侧，展开  “设置”，然后单击“ 服务器”。或者在左侧的horizo​​n administrator中，展开“ 查看配置”，然后单击“  服务器”。

   

    

   

5. 在右侧，切换到名为gateways的选项卡  。

   

    

   

6. 单击“  注册”按钮。

   

    

   

7. 在“  网关名称”字段中，输入先前指定的友好名称，然后单击“ 确定”。

   

    

   

8. 使用horizo​​n client通过unified access gateway进行连接。horizo​​n console和/或horizo​​n administrator仅检测活动会话的uag状态。
9. 在horizo​​n administrator（非horizo​​n console）的左上角，单击仪表板。
10. 在中间，展开  网关并单击您的网关以查看其状态。

    

11. 在horizo​​n administrator中，您可以转到“  监控”>“会话”以查看用户连接到的网关。

    

     

    

其他uag配置

1. 如果您希望unified access gateway使用非ad方法（例如双因素）对用户进行身份验证，请启用“  身份验证设置”部分，并根据您的要求配置相应的设置。您的uag必须是高级版或更高版本。

   

2. 密码在“ 高级设置”>“系统配置”下  配置。

   

   • 系统日志也在这里配置。

     

3. uag enterprise edition支持高可用性设置。

   

   1. 使用高可用性虚拟ip地址，您可能不需要uag设备的负载平衡。请参阅  vmware docs上的unified access gateway高可用性。
      1. 高可用性功能需要三个ip地址和三个dns名称：
         1. 高可用性虚拟ip的一个ip / fqdn。
         2. 每个设备/节点有一个ip / fqdn。
      2. horizo​​n edge网关应设置为特定于节点的ip地址和特定于节点的dns名称。每个设备都设置为不同的ip / fqdn。
      3. 虚拟ip（及其dns名称）仅用于高可用性配置。
      4. youtube视频  什么是新的统一接入网关3 4  和vmware unified access gateway上的高可用性功能演练解释了高可用性架构。
   2. 将模式设置为启用。
   3. 输入在两个设备上都处于活动状态的新虚拟ip地址。
   4. 为子网输入1到255之间的唯一组id。
   5. 单击保存。
   6. 在第二个设备上，配置完全相同的高可用性设置。

      

4. 要上载有效证书，请向下滚动到“  高级设置”部分，然后在“ tls服务器证书设置”旁边  ，单击齿轮图标。

   

   1. 在unified access gateway 3.2及更高版本中，您可以将上载的证书应用于  internet接口，  管理界面或两者。

      

   2. 在unified access gateway 3.0及更高版本中，将证书类型更改  为  pfx，浏览到pfx文件，输入密码。此pfx文件证书必须与unified access gateway的公共fqdn（负载平衡）匹配。
   3. 将别名字段留空。
   4. 单击  保存。

      

       

      

   5. 如果您更改了管理界面证书，则系统将提示您关闭浏览器窗口并重新打开它。

      

5. 或者，您可以上传pem证书/密钥（这是旧uag中唯一的选项）。在私钥旁边  ，单击“  选择”链接。

   

   1. 浏览到pem密钥文件。如果未运行unified access gateway 3.0或更高版本，则必须先将在windows上创建的证书（pfx文件）转换为pem，然后才能将它们与unified access gateway一起使用。您可以使用  openssl命令执行此转换。私钥应该是未加密的。

      

   2. 浏览到包含服务器证书和任何中间证书的pem证书文件（base-64）。服务器证书位于顶部，中间证书位于其下方。服务器证书必须与unified access gateway的公共fqdn（负载平衡）匹配。

      

   3. 完成后单击“  保存”。

      

6. uag 3.1及更高版本具有端点一致性检查功能。uag必须是企业版。该功能需要opswat订阅。opswat代理部署到带外端点。这是通过/失败。请参阅  vmware docs上的horizo​​n端点遵从性检查。youtube视频  端点合规性检查：新的vmware horizo​​n安全功能。

   

    

   

7. 向下滚动到“  支持设置”  ，然后单击“ 导出unified access gateway设置”旁边的图标，  将设置保存到json文件。如果需要重建unified access gateway，只需导入json文件即可。

   

8. 如果将浏览器指向unified access gateway外部url，则应看到horizo​​n view connection server门户页面。horizo​​n client还应该使用unified access gateway url。

   

监控会话

在uag 3.4及更高版本中，在uag admin界面中，

• 在页面顶部的“ 边缘服务设置”旁边  ，您可以看到此设备上的活动会话数。

  

• 在页面底部的“  支持设置”下，单击“  边缘服务会话  统计信息”  以查看更多详细信息。

  

   

  

在旧版本的uag中，要查看通过uag的现有horizo​​n连接，请将浏览器指向  https：// uag-hostname-or-ip-addr：9443 / rest / v1 / monitor / stats。

使用rest查看vmware unified access gateway统计信息的 andrew morgan 创建了一个调用此rest api的powershell模块。

日志和故障排除

在access point 2.8和unified access gateway（2.9及更高版本）中，您可以从管理界面下载日志。

您还可以查看日志/opt/vmware/gateway/logs。您可以less从设备控制台获取这些日志。

或者您可以将浏览器指向https：// myapplianceip：9443 / rest / v1 / monitor / support-archive。这将下载包含所有日志文件的.zip文件。在gui文本编辑器中更容易阅读。

有关初始配置问题，请查看admin.log。

有关horizo​​n view代理问题，请查看esmanager.log。

默认情况下，uag上未安装tcpdump。要安装它，请登录控制台并运行 /etc/vmware/gss-support/install.sh

• justin johnson的更多信息故障排除端口连接horizo​​n的unified access gateway 3.2使用curl和tcpdump

负载均衡

如果是netscaler，请参阅  https://www.carlstalhood.com/vmware-horizo​​n-unified-access-gateway-load-balancing-netscaler-12/  负载均衡统一接入网关。

有关统一接入网关的vmware nsx负载平衡，请参见“  vmware®nsxfor vsphere最终用户计算设计指南1.2”。