Unified Access Gateway 使用不同的变量来区分 Edge 服务、配置的 Web 代理以及代理目标 URL。

代理模式和不安全模式

Unified Access Gateway 使用代理模式将入站 HTTP 请求转发到正确的 Edge 服务(如 Horizon)或配置的 Web 反向代理实例之一(如 Workspace ONE Access)。因此,将使用代理模式作为筛选器来确定在处理入站流量时是否需要反向代理。

如果选择了反向代理,该代理将使用指定的不安全模式来确定是否允许入站流量在未经过验证的情况下进入后端。

用户必须指定代理模式,并可以选择指定不安全模式。不安全模式由 Web 反向代理(例如 Workspace ONE Access)使用,这些反向代理拥有自己的登录机制,并且需要在未经过验证的情况下将特定的 URL(例如,登录页面路径、javascript 或映像资源)传递到后端。
注: 不安全模式是代理模式的一个子集,因此可能会在反向代理的两个不安全模式中重复使用某些路径。
注: 该模式还可用于排除某些 URL。例如,如果要允许所有 URL 都通过但会阻止 /admin,则可以使用以下表达式。 ^/(?!admin(.*))(.*)
每个 Edge 服务可能具有不同的模式。例如, HorizonProxy Pattern 可配置为 (/|/view-client(.*)|/portal(.*)|/appblast(.*)),而 Workspace ONE Access 的模式可配置为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
注: 如果代理模式发生重叠,则 Horizon Connection Server 无法与已启用的 Web 反向代理一起使用。因此,如果在同一 Unified Access Gateway 实例上配置了 Horizon 和 Web 反向代理实例(例如 Workspace ONE Access)并启用了代理模式,请从 Horizon 设置中移除代理模式“/”,并在 Workspace ONE Access 中保留此模式以防止发生重叠。

在 Web 反向代理实例 (Workspace ONE Access) 中保留“/”代理模式可确保当用户单击 Unified Access Gateway 的 URL 时,显示 Workspace ONE Access 页面。

如果仅配置 Horizon 设置,则不需要进行上述更改。

代理主机模式

如果配置了多个 Web 反向代理实例,并且代理模式发生重叠,则 Unified Access Gateway 会使用 Proxy Host Pattern区分这些实例。将Proxy Host Pattern配置为反向代理的 FQDN。

例如,Sharepoint 的主机模式可配置为 sharepoint.myco.com,而 JIRA 的模式可配置为 jira.myco.com

主机条目

仅当 Unified Access Gateway 无法访问后端服务器或应用程序时,才需要配置此文本框。在将后端应用程序的 IP 地址和主机名添加到“主机条目”时,该信息将添加到 Unified Access Gateway /etc/hosts 文件中。对于所有 Edge 服务设置,该字段是通用的。

代理目标 URL

这是将 Unified Access Gateway 作为代理的 Edge 服务设置的后端服务器应用程序 URL。例如:
  • 对于 Horizon Connection Server,代理目标 URL 是连接服务器 URL。
  • 对于 Web 反向代理,代理目标 URL 是所配置的 Web 反向代理的应用程序 URL。

单反向代理配置

Unified Access Gateway 收到一个包含 URI 的入站请求时,将使用代理模式确定是转发还是丢弃该请求。

多反向代理配置

  1. 如果将 Unified Access Gateway 配置为反向代理,并收到包含 URI 路径的入站请求,Unified Access Gateway 将使用代理模式匹配正确的 Web 反向代理实例。如果具有单个匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 2 中的筛选和匹配过程。如果没有匹配项,则丢弃该请求并将 HTTP 404 发回到客户端。
  2. 使用代理主机模式筛选在步骤 1 中已筛选过的列表。将使用 HOST 标头筛选请求并查找反向代理实例。如果具有单个匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 3 中的筛选和匹配过程。
  3. 请注意以下事项:
    • 将使用步骤 2 中筛选的列表中的第一个匹配项。此匹配项并非总是正确的 Web 反向代理实例。因此,如果在 Unified Access Gateway 中设置了多个反向代理,请确保 Web 反向代理实例的代理模式和代理主机模式组合必须是唯一的。
    • 已配置的所有反向代理的主机名将解析为与 Unified Access Gateway 实例的外部地址相同的 IP 地址。

有关配置反向代理的详细信息和说明,请参阅使用 Workspace ONE Access 配置反向代理

示例:两个反向代理配置了相互冲突的代理模式及不同的主机模式

假设第一个反向代理的代理模式为 /(.*),且其主机模式为 host1.domain.com;而第二个反向代理的代理模式为 (/app2(.*)|/app3(.*)|/),且其主机模式为 host2.domain.com
  • 如果所发出请求的路径设置为 https://host1.domain.com/app1/index.html,则该请求将转发到第一个反向代理。
  • 如果所发出请求的路径设置为 https://host2.domain.com/app2/index.html,则该请求将转发到第二个反向代理。

示例:两个反向代理具有相互排斥的代理模式

假设第一个反向代理的代理模式为 /app1(.*),而第二个反向代理的代理模式为 (/app2(.*)|/app3(.*)|/)
  • 如果所发出请求的路径设置为 https://<uag domain name>/app1/index.html,则该请求将转发到第一个反向代理。
  • 如果所发出请求的路径设置为 https://<uag domain name>/app3/index.htmlhttps://<uag domain name>/,则该请求将转发到第二个反向代理。