Unified Access Gateway 使用不同的变量来区分 Edge 服务、配置的 Web 代理以及代理目标 URL。

代理模式和不安全模式

Unified Access Gateway 使用代理模式将入站 HTTP 请求转发到正确的 Edge 服务(如 Horizon)或配置的 Web 反向代理实例之一(如 VMware Identity Manager)。因此,使用代理模式作为筛选器来确定在处理入站流量时是否需要反向代理。

如果选择了反向代理,该代理将使用指定的不安全模式来确定是否允许入站流量在不经过身份验证的情况下进入后端。

用户必须指定代理模式,可以选择指定不安全模式。不安全模式由 Web 反向代理使用(例如 VMware Identity Manager),这些反向代理拥有自己的登录机制,并且需要在不经过身份验证的情况下将特定的 URL(例如,登录页面路径、javascript 或映像资源)传递到后端。

注:

不安全模式是代理模式的一个子集,因此某些路径可能会在某个反向代理的两个不安全模式中重复使用。

每个 Edge 服务可能具有不同的模式。例如,HorizonProxy Pattern 可配置为 (/|/view-client(.*)|/portal(.*)|/appblast(.*)),而 VMware Identity Manager 的模式可配置为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))

注:

如果代理模式发生重叠,则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因此,如果在同一 Unified Access Gateway 实例上配置了 Horizon 和 Web 反向代理实例(例如 VMware Identity Manager)并启用了代理模式,请从 Horizon 设置中移除代理模式“/”,并在 VMware Identity Manager 中保留此模式以防止发生重叠。

在 Web 反向代理实例 (VMware Identity Manager) 中保留“/”代理模式可确保当用户单击 Unified Access Gateway 的 URL 时,显示 VMware Identity Manager 页面。

如果仅配置 Horizon 设置,则不需要进行上述更改。

代理主机模式

如果配置了多个 Web 反向代理实例,并且代理模式发生重叠,则 Unified Access Gateway 使用 Proxy Host Pattern区分它们。将Proxy Host Pattern配置为反向代理的 FQDN。

例如,Sharepoint 的主机模式可配置为 sharepoint.myco.com,而 JIRA 的模式可配置为 jira.myco.com

主机条目

仅当 Unified Access Gateway 无法访问后端服务器或应用程序时,才需配置此文本框。在将后端应用程序的 IP 地址和主机名添加“主机条目”时,该信息将添加到 Unified Access Gateway /etc/hosts 文件中。对于所有 Edge 服务设置,该字段是通用的。

代理目标 URL

这是将 Unified Access Gateway 作为代理的 Edge 服务设置的后端服务器应用程序 URL。例如:

  • 对于 Horizon Connection Server,代理目标 URL 是连接服务器 URL。

  • 对于 Web 反向代理,代理目标 URL 是配置的 Web 反向代理的应用程序 URL。

单个反向代理配置

Unified Access Gateway 收到一个包含 URI 的入站请求时,将使用代理模式确定是转发还是丢弃该请求。

多个反向代理配置

  1. 如果将 Unified Access Gateway 配置为反向代理,并收到包含 URI 路径的入站请求,Unified Access Gateway 将使用代理模式匹配正确的 Web 反向代理实例。如果具有匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 2 中的筛选和匹配过程。如果没有匹配项,则丢弃该请求并将 HTTP 404 发回到客户端。

  2. 使用代理主机模式筛选在步骤 1 中已筛选的列表。将使用 HOST 标头筛选请求并查找反向代理实例。如果具有匹配项,则使用匹配的模式。如果具有多个匹配项,则重复执行步骤 3 中的筛选和匹配过程。

  3. 请注意以下事项:

    • 将使用步骤 2 中筛选的列表中的第一个匹配项。此匹配项并非总是正确的 Web 反向代理实例。因此,如果在 Unified Access Gateway 中设置了多个反向代理,请确保 Web 反向代理实例的代理模式和代理主机模式组合必须是唯一的。

    • 所有配置的反向代理的主机名应解析为与 Unified Access Gateway 实例的外部地址相同的 IP 地址。

有关配置反向代理的详细信息和说明,请参阅Configure Reverse Proxy With VMware Identity Manager

示例:两个反向代理配置了相互冲突的代理模式及不同的主机模式

假设第一个反向代理的代理模式为 /(.*),且其主机模式为 host1.domain.com;而第二个反向代理的模式为 (/app2(.*)|/app3(.*)|/),且其主机模式为 host2.domain.com

  • 如果所发出请求的路径设置为 https://host1.domain.com/app1/index.html,则请求会转发到第一个反向代理。

  • 如果所发出请求的路径设置为 https://host2.domain.com/app2/index.html,则请求会转发到第二个反向代理。

示例:两个反向代理具有相互排斥的代理模式

假设第一个反向代理的代理模式为 /app1(.*),而第二个反向代理的代理模式为 (/app2(.*)|/app3(.*)|/)

  • 如果所发出请求的路径设置为 https://<uag domain name>/app1/index.html,则请求会转发到第一个反向代理。

  • 如果所发出请求的路径设置为 https://<uag domain name>/app3/index.htmlhttps://<uag domain name>/,则请求会转发到第二个反向代理。