《部署和配置 VMware Unified Access Gateway》 提供了有关设计 VMware Horizon®、VMware Workspace ONE Access 和 Workspace ONE UEM 部署以使用 VMware Unified Access Gateway™ 对您组织的应用程序进行安全外部访问的信息。这些应用程序可能是 Windows 应用程序、软件即服务 (Software As A Service, SaaS) 应用程序以及桌面。本指南还提供了部署 Unified Access Gateway 虚拟设备以及在部署后更改配置设置的说明。
目标读者
本指南中的信息面向任何需要部署和使用 Unified Access Gateway 设备的人员。该信息是为熟悉虚拟机技术和数据中心操作且经验丰富的 Linux 和 Windows 系统管理员编写的。
使用 Unified Access Gateway
Unified Access Gateway 是基于 VMware 强化版 Linux 的虚拟安全设备,旨在保护远程用户对最终用户计算资源(如虚拟桌面和应用程序)的访问。它旨在与以下 VMware 解决方案一起运行:
- 使用 Horizon 7/8 和 Horizon Cloud 实现桌面和应用程序虚拟化
- Workspace ONE Access
- Workspace ONE UEM
- Per-App Tunnel
- Content Gateway
- Secure Email Gateway
虚拟设备是预配置的软件解决方案,可将强化版 Linux 配置与应用程序网关和安全软件相结合,从而使其可以作为单个设备进行管理。Unified Access Gateway 以单个映像文件的形式提供,该文件由 VMware 进行了预强化和整体测试。所有配置设置都可以在部署期间推送,以便 Unified Access Gateway“在首次启动时生产就绪”并使用自动部署,只需不到 2 分钟即可完成。在设备部署后,无需对设备进行单独配置或强化。此功能消除了单独管理操作系统和安装应用程序包的需求。这也意味着,将不同的应用程序代码版本与不同的操作系统组件和 Java 版本进行组合,不会遇到任何不兼容问题。总体而言,已发布设备映像的所有组件在发布之前均由 Vmware 进行测试。
提供 Unified Access Gateway 的完整版本和 FIPS 的受限版本。支持在以下产品上部署 Unified Access Gateway:
- vSphere(ESXi 和 vCenter)
注: vCenter 对于 ESXi 部署是必需的。
- Amazon AWS EC2(Xen 和 KVM)
- Microsoft Azure
- Hyper-V(仅适用于 Workspace ONE UEM)
- Google 计算引擎(Google Cloud 中的 GCE)。
同一 Unified Access Gateway 设备(标准版或 FIPS 版本)可用于所有解决方案、Hypervisor 以及 VMware Cloud Services(如 Horizon Cloud)。
虚拟设备操作系统
与其他许多现代 VMware 虚拟设备一样,Unified Access Gateway 使用 Photon 操作系统。Photon OS 是来自 VMware 的开源极简 Linux 操作系统。最新的 Unified Access Gateway 版本使用 Photon 3.0。
支持控制台访问,允许管理员以 root 用户身份登录。这种访问可通过 vCenter 控制台链接等虚拟化平台来实现,并且可以通过 vCenter 上全面的基于角色的访问控制 (RBAC) 工具对访问进行限制,以确保只有授权管理员才能获得访问权限。Unified Access Gateway 的 SSH 访问通常处于停用状态,但可以使用密码或 SSH 密钥控件来激活。
产品更新
Unified Access Gateway 的每个新版本都会使用更新的 Photon、Java 和其他组件,这些组件都应用了所有最新的安全更新。VMware 强烈建议您及时更新 Unified Access Gateway 版本,以利用安全更新和其他改进。
目前,每季度发行一次 Unified Access Gateway 的新版本(大约一年发行 4 次)。新版本包括功能更新、安全更新、改进、错误修复和操作系统软件包版本的更新。
Unified Access Gateway 的版本编号使用简单的 YYMM 格式来指示发行年份和月份。例如,2207 版本表示它是在 2022 年 7 月发行的。
维护版本VMware 可能还会发布临时维护版本,用于解决适用于 Unified Access Gateway 的严重安全漏洞,或解决严重缺陷。
Unified Access Gateway 维护版本的版本编号使用带点 (.)和递增数字的 YYMM 格式。例如,维护版本可能是 2207.1,2207.2,表示它是 Unified Access Gateway 2207 的维护版本。
关键操作系统修补程序更新VMware 可能会授权更新一个或多个操作系统软件包,用于纠正影响 Unified Access Gateway 特定版本且尚无可行解决方法的严重漏洞。
配置自动检查从 Unified Access Gateway 的 2009 版本开始,管理员可以使用新功能来配置自动检查任何授权的软件包更新。默认情况下,此功能处于停用状态。管理员可以在下次引导时激活此功能以进行动态软件包下载和更新。设置为在下次引导时检查并应用所需的更新一次,或者配置为在每次引导时检查并应用所需的更新。有关这些设置的更多信息,请参阅 VMware Docs 上《部署和配置 Mware Unified Access Gateway 指南》中的“配置 Unified Access Gateway 以自动应用授权的操作系统更新”部分。这样,管理员就可以将此更新安排在不影响正在运行的服务的时间内进行。授权更新很少见,仅适用于 Photon 和应用程序软件包,用于解决 Unified Access Gateway 特定版本的上下文中存在的严重安全性或稳定性问题。
