Unified Access Gateway 使用不同的变量来区分 Edge 服务、配置的 Web 代理以及代理目标 URL。
代理模式和不安全模式
Unified Access Gateway 使用代理模式将入站 HTTP 请求转发到正确的 Edge 服务(如 Horizon)或配置的 Web 反向代理实例之一(如 VMware Identity Manager)。因此,使用代理模式作为筛选器来确定在处理入站流量时是否需要反向代理。
如果选择了反向代理,该代理将使用指定的不安全模式来确定是否允许入站流量在不经过身份验证的情况下进入后端。
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
,而
VMware Identity Manager 的模式可配置为
(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
。
在 Web 反向代理实例 (VMware Identity Manager) 中保留“/”代理模式可确保当用户单击 Unified Access Gateway 的 URL 时,显示 VMware Identity Manager 页面。
如果仅配置 Horizon 设置,则不需要进行上述更改。
代理主机模式
如果配置了多个 Web 反向代理实例,并且代理模式发生重叠,则 Unified Access Gateway 使用 Proxy Host Pattern区分它们。将Proxy Host Pattern配置为反向代理的 FQDN。
例如,Sharepoint 的主机模式可配置为 sharepoint.myco.com,而 JIRA 的模式可配置为 jira.myco.com。
主机条目
仅当 Unified Access Gateway 无法访问后端服务器或应用程序时,才需配置此文本框。在将后端应用程序的 IP 地址和主机名添加“主机条目”时,该信息将添加到 Unified Access Gateway 的 /etc/hosts 文件中。对于所有 Edge 服务设置,该字段是通用的。
代理目标 URL
- 对于 Horizon Connection Server,代理目标 URL 是连接服务器 URL。
- 对于 Web 反向代理,代理目标 URL 是配置的 Web 反向代理的应用程序 URL。
单个反向代理配置
在 Unified Access Gateway 收到一个包含 URI 的入站请求时,将使用代理模式确定是转发还是丢弃该请求。
多个反向代理配置
- 如果将 Unified Access Gateway 配置为反向代理,并收到包含 URI 路径的入站请求,Unified Access Gateway 将使用代理模式匹配正确的 Web 反向代理实例。如果具有匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 2 中的筛选和匹配过程。如果没有匹配项,则丢弃该请求并将 HTTP 404 发回到客户端。
- 使用代理主机模式筛选在步骤 1 中已筛选的列表。将使用 HOST 标头筛选请求并查找反向代理实例。如果具有匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 3 中的筛选和匹配过程。
- 请注意以下事项:
- 将使用步骤 2 中筛选的列表中的第一个匹配项。此匹配项并非总是正确的 Web 反向代理实例。因此,如果在 Unified Access Gateway 中设置了多个反向代理,请确保 Web 反向代理实例的代理模式和代理主机模式组合必须是唯一的。
- 所有配置的反向代理的主机名应解析为与 Unified Access Gateway 实例的外部地址相同的 IP 地址。
有关配置反向代理的详细信息和说明,请参阅使用 VMware Identity Manager 配置反向代理。
示例:两个反向代理配置了相互冲突的代理模式及不同的主机模式
/(.*)
,且其主机模式为
host1.domain.com
;而第二个反向代理的模式为
(/app2(.*)|/app3(.*)|/)
,且其主机模式为
host2.domain.com
。
- 如果所发出请求的路径设置为
https://host1.domain.com/app1/index.html
,则请求会转发到第一个反向代理。 - 如果所发出请求的路径设置为
https://host2.domain.com/app2/index.html
,则请求会转发到第二个反向代理。
示例:两个反向代理具有相互排斥的代理模式
/app1(.*)
,而第二个反向代理的代理模式为
(/app2(.*)|/app3(.*)|/)
。
- 如果所发出请求的路径设置为
https://<uag domain name>/app1/index.html
,则请求会转发到第一个反向代理。 - 如果所发出请求的路径设置为
https://<uag domain name>/app3/index.html
或https://<uag domain name>/
,则请求会转发到第二个反向代理。