11、Horizon UAG网关服务器部署与安全配置实战

1. Horizon UAG网关服务器部署全流程

Horizon UAG(Unified Access Gateway)是VMware专门为Horizon虚拟桌面环境设计的安全访问网关。它就像企业内网和外部用户之间的"智能门卫",负责验证身份、过滤流量,确保远程访问既方便又安全。下面我会用最直白的语言,带你走完从零部署的全过程。

1.1 前期准备工作

部署UAG之前,需要准备好这些"食材":

  • OVF模板文件:从VMware官网下载最新版,比如euc-unified-access-gateway-21.11.1.0-19072784_OVF10.ova
  • 网络规划表:包括内网IP、外网IP、端口映射关系(建议画个草图)
  • 连接服务器信息:至少需要知道内网连接服务器的IP或域名

我建议先在测试环境演练一遍。曾经有个客户直接在生产环境操作,因为DNS解析问题折腾了半天。提前在笔记本上记下这些关键信息能省很多事:

  • 内网IP:192.168.230.44
  • 外网IP:115.237.109.73
  • 端口映射:外网9000→内网443,外网9001→内网8443

1.2 OVF模板导入详解

登录vCenter后,右键集群选择"部署OVF模板"。这里有几个容易踩坑的地方:

  1. 网卡数量选择:单网卡简单但可能有性能瓶颈,双网卡更安全但需要配置路由。中小型企业选单网卡就够了
  2. 磁盘格式:务必选"精简置备",能动态分配空间。有次我手滑选了"厚置备",结果200GB空间瞬间被占满
  3. 网络配置:建议先用静态IP,等调试完成再考虑DHCP

导入完成后别急着开机,先检查虚拟机设置里的内存(至少8GB)和CPU(至少4核)。有次性能问题排查半天,最后发现是资源分配不足。

2. 初始化配置实操指南

2.1 首次登录配置页面

通过浏览器访问https://[UAG_IP]:9443时,大概率会遇到证书警告。别慌,这是正常现象。点击"高级"→"继续前往"即可。我见过有人在这个环节反复重装系统,其实完全没必要。

进入配置页面后:

  1. 选择"手动配置"(自动配置适合大规模部署)
  2. 启用Edge服务(相当于打开网关的"总开关")
  3. 重点来了——Horizon设置里的连接服务器地址

2.2 指纹验证的玄机

这里有个特别容易出错的地方——指纹验证。点击"不安全"→"证书无效",找到SHA256指纹复制下来。格式必须是这样的:

sha256=83:4F:C6:D8:07:1A:4E:92:E4:AE:85:B8:75:F8:32:A3:96:F1:F6:73:3D:14:F5:65:2D:D5:8E:3D:AF:50:F2:52

如果遇到服务显示红色,90%的情况是:

  • 指纹复制时多了空格
  • 连接服务器地址用了域名但DNS解析失败(这时改用IP试试)
  • 防火墙端口没开(检查443和8443)

查看日志的命令特别实用:

tail -f /opt/vmware/gateway/logs/esmanager-std-out.log

3. 安全加固关键步骤

3.1 连接服务器配置文件修改

这个步骤很多文档都讲得模糊,其实就两步:

  1. 在连接服务器创建C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties文件
  2. 写入以下内容(注意等号两边不要空格):
checkOrigin=false enableCORS=false

然后重启"VMware Horizon View安全网关组件服务"。这里有个小技巧:先用记事本写好内容,保存时选择"所有文件"类型,避免生成.txt后缀。

3.2 UAG系统级安全设置

在UAG的"系统配置"页面,建议调整这些参数:

  • 密码期限:设为90天(太短用户抱怨,太长不安全)
  • NTP服务器:配置内网时间服务器,时间不同步会导致证书验证失败
  • 监控用户:创建专用监控账号,不要用admin

曾经有个案例,因为时间偏差3分钟,所有用户都无法登录。配置NTP后问题立即解决。

4. 注册与连通性测试

4.1 在连接服务器注册UAG

在Horizon控制台的"网关"页面注册时,注意:

  1. 主机名要用FQDN格式(如uag01.company.com)
  2. 注册完成后,一定要到连接服务器属性里取消所有勾选(这是为了强制走UAG通道)

测试时遇到过这种情况:注册成功但连接失败。后来发现是连接服务器防火墙挡住了UAG的IP。加条白名单规则就解决了。

4.2 内外网测试技巧

分两个阶段测试:

  1. 内网测试:用另一台内网电脑通过UAG的IP访问,排除网络因素
  2. 外网测试:通过手机热点连接,模拟真实环境

建议测试这两种方式:

  • Horizon Client直连(测试基础功能)
  • Web浏览器访问(测试HTML5适配)

有个实用技巧:在UAG服务器上运行pingtelnet命令,先确认到连接服务器的网络可达性:

ping 192.168.230.44 telnet 192.168.230.44 443

如果遇到连接问题,先检查这些:

  • UAG服务状态(全部要是绿色)
  • 防火墙规则(特别是NAT转换是否正确)
  • 证书有效期(过期的证书会导致各种奇怪错误)

最后提醒:正式上线前,建议用压力测试工具模拟多用户并发访问。我遇到过UAG在20人同时连接时就崩溃的情况,后来调整JVM参数才解决。配置文件的路径在/opt/vmware/gateway/conf/,可以调整内存分配等参数。