在 Workspace ONE 和 VMware Horizon 内部部署中,用于终端用户计算产品和服务的 Unified Access Gateway 需要具有高可用性。但是,使用第三方负载平衡器会提高部署和故障排除流程的复杂性。此解决方案减少了在 DMZ 前端 Unified Access Gateway 中使用第三方负载平衡器的需求。
此解决方案不是通用目的的负载平衡器。
对于倾向于采用此部署模式的用户,Unified Access Gateway 将继续支持在前端使用第三方负载平衡器。有关更多信息,请参阅 Unified Access Gateway 负载平衡拓扑。
实施
Unified Access Gateway 需要管理员提供 IPv4 虚拟 IP 地址和一个组 ID。Unified Access Gateway 将虚拟 IP 地址仅分配给群集中一个配置了相同虚拟 IP 地址和组 ID 的节点。如果持有该虚拟 IP 地址的 Unified Access Gateway 发生故障,则会自动将该虚拟 IP 地址重新分配给群集中的一个可用节点。将在群集中配置了相同组 ID 的节点之间进行 HA 和负载分发。
对于从同一个源 IP 地址发出的多个连接,将发送至处理来自 Horizon 和 Web 反向代理客户端的第一个连接的同一 Unified Access Gateway。此解决方案支持在群集中有 10,000 个并发连接。
这些情况需要使用会话关联性。
对于 VMware Tunnel(每应用 VPN)和 Content Gateway 服务,使用最少连接算法来完成 HA 和负载分发。
这些是无状态连接,不需要会话关联性。
模式和关联性
不同的 Unified Access Gateway 服务需要不同的算法。
对于 VMware Horizon 和 Web 反向代理 - 在循环算法使用源 IP 关联性来进行负载分发。
对于 VMware Tunnel(每应用 VPN)和 Content Gateway - 不存在任何会话关联性,使用最少连接算法来进行负载分发。
可用于分发入站流量的方法:
源 IP 关联性:保持客户端连接和 Unified Access Gateway 节点之间的关联性。具有相同源 IP 地址的所有连接将发送至同一个 Unified Access Gateway 节点。
循环模式下的高可用性:按顺序在一组 Unified Access Gateway 节点间分发入站连接请求。
最少连接模式下的高可用性:新连接请求将发送至当前客户端连接数最少的 Unified Access Gateway 节点。
仅当每个客户端连接的入站连接 IP 是唯一的时,源 IP 关联性才会起作用。示例:如果多个客户端与 Unified Access Gateway 之间有一个网络组件(例如 SNAT 网关),则源 IP 关联性将不起作用,这是因为从多个不同客户端流向 Unified Access Gateway 的入站流量具有相同的源 IP 地址。
虚拟 IP 地址必须与 eth0 接口属于同一子网。
必备条件
用于 HA 的虚拟 IP 地址必须是唯一且可用的。Unified Access Gateway 不会在配置过程中验证此地址的唯一性。该 IP 地址可能会显示为已分配,然而如果将虚拟机或物理机与该 IP 地址相关联,该地址可能无法访问。
组 ID 在指定的子网中必须是唯一的。如果组 ID 不是唯一的,则组中分配的虚拟 IP 地址可能不一致。例如,最终可能会有两个或更多 Unified Access Gateway 节点试图获取同一个虚拟 IP 地址。这可能会导致虚拟 IP 地址在多个 Unified Access Gateway 节点之间进行切换。
要为 Horizon 或 Web 反向代理设置 HA,请确保所有 Unified Access Gateway 节点上的 TLS 服务器证书都是相同的。
限制
浮动虚拟 IP 地址支持 IPv4。不支持 IPv6。
仅支持 TCP 高可用性。
不支持 UDP 高可用性。
在 VMware Horizon 用例中,只有流向 Horizon 连接服务器的 XML API 流量使用高可用性。对于协议(显示)流量,如 Blast、PCoIP、RDP,不使用高可用性来分发负载。因此,除了虚拟 IP 地址外,Unified Access Gateway 节点的各个 IP 地址也必须可供 VMware Horizon Client 访问。
每个 Unified Access Gateway 上 HA 所需的配置
有关在 Unified Access Gateway 上配置 HA 的信息,请参阅配置高可用性设置。