O Unified Access Gateway para serviços e produtos de computação para o usuário final precisa de alta disponibilidade para implantações no local do Workspace ONE e do VMware Horizon. No entanto, o uso de balanceadores de carga de terceiros aumenta a complexidade do processo de implantação e solução de problemas. Essa solução reduz a necessidade de um balanceador de carga de terceiros no Unified Access Gateway front-end da zona desmilitarizada.

Observação: Essa solução não é um balanceador de carga de finalidade genérica.
O Unified Access Gateway continua a oferecer suporte a balanceadores de carga de terceiros na frente, para usuários que preferem esse modo de implantação. Para obter mais informações, consulte Topologias de balanceamento de carga. Não há suporte para alta disponibilidade Unified Access Gateway para Amazon AWS e implantações do Microsoft Azure.

Implementação

O Unified Access Gateway requer o endereço IP virtual do IPv4 e uma ID de grupo do administrador. O Unified Access Gateway atribui o endereço IP virtual a apenas um dos nós no cluster que esteja configurado com o mesmo endereço IP Virtual e ID de Grupo. Se o Unified Access Gateway mantendo o endereço IP virtual falhar, o endereço IP virtual será reatribuído automaticamente a um dos nós disponíveis no cluster. A HA e a distribuição de carga ocorrem entre os nós no cluster que está configurado com a mesma ID de grupo.

Várias conexões provenientes do mesmo endereço IP de origem são enviadas para o mesmo Unified Access Gateway, que processa a primeira conexão desse cliente para o Horizon e para o proxy reverso da Web. Essa solução é compatível com 10.000 conexões simultâneas no cluster.
Observação: A afinidade de sessão é necessária para esses casos.
Para o VMware Tunnel (Per-App VPN) Secure Email Gateway e os serviços do Content Gateway, a HA e a distribuição de carga são feitas usando menos algoritmos de conexão.
Observação: Essas conexões são independentes e a afinidade de sessão não é necessária.

Modo e afinidade

Diferentes serviços do Unified Access Gateway exigem algoritmos diferentes.

  • Para o VMware Horizon e o proxy reverso da Web - A afinidade de IP de origem é usada com o algoritmo round robin para distribuição.
  • Para VMware Tunnel (Per-App VPN) e Content Gateway - Não há nenhuma afinidade de sessão e menos algoritmos de conexão são usados para distribuição.
Métodos que são usados para distribuir o tráfego de entrada:
  1. Afinidade IP de origem: mantém a afinidade entre a conexão do cliente e o nó do Unified Access Gateway. Todas as conexões com o mesmo endereço IP de origem são enviadas para o mesmo nó do Unified Access Gateway.

  2. Modo de round robin com alta disponibilidade: as solicitações de conexão de entrada são distribuídas entre o grupo de nós do Unified Access Gateway em sequência.

  3. Menos modo de conexão com alta disponibilidade: uma nova solicitação de conexão é enviada para o nó do Unified Access Gateway com o menor número de conexões atuais dos clientes.

Observação: A afinidade de IP de origem só funcionará se o IP da conexão de entrada for exclusivo para cada conexão do cliente. Exemplo: se houver um componente de rede, como um gateway SNAT entre os clientes e o Unified Access Gateway, a afinidade do IP de origem não funcionará, pois o tráfego de entrada de vários clientes diferentes para o Unified Access Gateway tem o mesmo endereço IP de origem.
Observação: O endereço IP virtual deve pertencer à mesma sub-rede que a interface do eth0.

Pré-requisitos

  • O endereço IP virtual usado para HA deve ser exclusivo e disponível. O Unified Access Gateway não é validado se ele for exclusivo durante a configuração. O endereço IP poderá ser exibido como atribuído, mas poderá não ser acessível se uma máquina física ou VM estiver associada ao endereço IP.
  • A ID do grupo deve ser exclusiva em uma determinada sub-rede. Se a ID do grupo não for exclusiva, um endereço IP virtual inconsistente poderá ser atribuído no grupo. Por exemplo, dois ou mais nós do Unified Access Gateway podem acabar tentando adquirir o mesmo endereço IP virtual. Ele pode fazer com que o endereço IP virtual seja alternado entre vários nós do Unified Access Gateway.
  • Para configurar a HA para o Horizon ou o proxy reverso da Web, certifique-se de que o certificado do servidor TLS em todos os nós do Unified Access Gateway sejam os mesmos.
  • Se o HA estiver configurado, certifique-se de que o VIP seja acessado usando o FQDN na porta 443.

Limitações

  • O IPv4 é compatível com o endereço IP virtual flutuante. O IPv6 não é compatível.
  • Apenas alta disponibilidade do TCP é compatível.
  • A alta disponibilidade do UDP não é compatível.
  • Com o caso de uso do VMware Horizon, somente o tráfego XML API do Servidor de conexão Horizon usa alta disponibilidade. A alta disponibilidade não é usada para distribuir a carga para o tráfego de protocolo (exibição), como Blast, PCoIP e RDP. Portanto, os endereços IP individuais de nós do Unified Access Gateway também deverão estar acessíveis aos clientes do VMware Horizon, além do endereço IP virtual.

Configuração necessária para HA em cada Unified Access Gateway

Para configurar a HA no Unified Access Gateway, consulte Definir as configurações de alta disponibilidade.