Horizon 的主要要求是支持本机 Horizon Client 和 HTML Access Horizon Client,并且能够对客户端 XML 控制协议、Horizon HTTPS 安全隧道和 Blast/HTTPS WebSockets 协议进行协议处理。
TCP 端口 443 上的客户端 XML、隧道和 Blast TCP 协议
Horizon 的主要要求是支持本机 Horizon Client 和 HTML Access Horizon Client,并且能够对客户端 XML 控制协议、Horizon HTTPS 安全隧道和 Blast/HTTPS WebSockets 协议进行协议处理。
所有这些协议都可以使用 HTTPS TCP 端口 443 来支持,因此不需要允许其他端口通过外部防火墙 1 或 DMZ 区域防火墙 2 之间的防火墙,如图 3-1 所示。
要通过 TLS 终止和 URL 筛选支持这一最低 Horizon 协议集,应通过启用具有以下代理模式的反向代理 Edge 服务,将
UAG 1 设置为 Web 反向代理
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/view-client/(.*)|/)
这会限制 Web 流量,因为它将允许的 URL 范围限制为符合配置的代理模式的 URL。
Unified Access Gateway 上支持的端点合规性检查提供程序是
OPSWAT。
OPSWAT MetaAccess on-demand agent 是
OPSWAT 客户端。如果在
UAG 2 中配置了
OPSWAT MetaAccess on-demand agent,并且
UAG 1 从
Horizon Client 收到下载
on-demand agent 的请求,则
UAG 1 必须允许此类请求到达
UAG 2。要支持此方案,
UAG 1 必须运行
Unified Access Gateway 3.10 或更高版本,并使用以下代理模式进行设置,其中包括
/gateway/resources/(.*):
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/|/gateway/resources/(.*))
有关 OPSWAT MetaAccess on-demand agent 的信息,请参阅《部署和配置 VMware Unified Access Gateway》(版本 3.9 及更高版本)。
要在部署时使用 PowerShell 自动配置此项,请在 UAG.INI 文件中添加以下示例部分:
[WebReverseProxy1] instanceId=Horizon-WRP proxyDestinationUrl=https://192.168.2.101 proxyDestinationUrlThumbprints=sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1 proxyPattern=(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)
如果使用 Unified Access Gateway 管理 UI,请使用以下设置添加反向代理 Edge 服务。
| 设置 | 值 |
|---|---|
| 启用反向代理设置 | 打开此选项开关。 |
| 实例 ID | Horizon-WRP |
| 代理目标 URL | https://192.168.2.101 |
| 代理目标 URL 指纹 | sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1 |
| 代理模式 | (/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/) |
注: “Web 反向代理”一节其余内容中所述的其他端口是可选的,具体取决于这些附加协议的要求。
