O requisito principal do Horizon é oferecer suporte a clientes Horizon nativos e ao cliente HTML Access Horizon com tratamento de protocolo para o protocolo de controle XML do cliente, o túnel seguro HTTPS do Horizon e o protocolo Blast/HTTPS WebSockets.

Protocolos Cliente XML, Tunnel e Blast TCP na porta TCP 443

O requisito principal do Horizon é oferecer suporte a clientes Horizon nativos e ao cliente HTML Access Horizon com tratamento de protocolo para o protocolo de controle XML do cliente, o túnel seguro HTTPS do Horizon e o protocolo Blast/HTTPS WebSockets.

Todos esses protocolos podem ter suporte usando a porta 443 TCP HTTPS e, portanto, não há necessidade de permitir outras portas por meio do Firewall 1 ou por meio do firewall entre as zonas DMZ Firewall 2, conforme mostrado na Figura 3-1.

Para oferecer suporte a esse conjunto mínimo de protocolos do Horizon com terminação TLS e filtragem de URL, o UAG 1 deve ser configurado como um Proxy Reverso Web ativando um Serviço de Borda de Proxy Reverso com o Padrão de Proxy a seguir 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/view-client/(.*)|/)

Isso restringe o tráfego da Web, pois limita o intervalo de URLs permitidas àqueles em conformidade com o padrão de proxy configurado.

O OPSWAT é o provedor de verificação de conformidade de endpoint compatível com o Unified Access Gateway. OPSWAT MetaAccess on-demand agent é um cliente do OPSWAT. Se o OPSWAT MetaAccess on-demand agent estiver configurado no UAG 2 e o UAG 1 receber uma solicitação do Horizon Client para baixar o on-demand agent, o UAG 1 deverá permitir que essa solicitação chegue ao UAG 2. Para oferecer suporte a esse cenário, o UAG 1 deve estar executando versões do Unified Access Gateway 3.10 ou mais recente e configurado com o seguinte Padrão de Proxy, que inclui /gateway/resources/(.*): 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/|/gateway/resources/(.*))

Para obter informações sobre o OPSWAT MetaAccess on-demand agent, consulte Implantação e configuração do VMware Unified Access Gateway, versões 3.9 e posteriores.

Para configurar isso automaticamente no momento da implantação com o PowerShell, adicione a seguinte seção de exemplo ao arquivo UAG.INI: 

[WebReverseProxy1]
instanceId=Horizon-WRP
proxyDestinationUrl=https://192.168.2.101
proxyDestinationUrlThumbprints=sha1=c5 51 2f a8 1e ef a9
f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
proxyPattern=(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)

Se estiver usando a UI do administrador do Unified Access Gateway, adicione um Serviço de Borda de Proxy Reverso com as configurações a seguir.

Tabela 1. Configurações da UI de administração do Unified Access Gateway para proxy reverso da Web
Configurações Valor
Ativar configurações de proxy reverso Ative essa opção.
Id de Instância Horizon-WRP
URL de Destino do Proxy https://192.168.2.101
Impressões Digitais da URL de Destino do Proxy sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
Padrão de Proxy (/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)
Observação: Outras portas descritas no restante da seção Web proxy reverso são opcionais, dependendo dos requisitos para esses protocolos adicionais.