本节介绍 Unified Access Gateway(以前称为 Access Point)的设置过程,该设备在产品部署中取代了远程访问管理器 (dtRAM)。
Unified Access Gateway 是 VMware 开发的终端用户计算 (End-User Computing, EUC) 设备,该设备可充当专用网关(或反向代理),以管理对私有云或公有云中部署的企业 EUC 产品的访问。它整合了以前在各种企业 EUC 产品中实施的功能,并为在其环境中使用多个 EUC 产品的客户简化了部署过程。
以下是迁移到 Unified Access Gateway 的优势。
- 迁移到 Unified Access Gateway 的客户可以将其防火墙开放端口减少为 443、4172 和 8443。
- Unified Access Gateway 会为 HTML Access (Blast) 正确处理 SSL 证书,以便在虚拟桌面上不再需要证书。
注: 对于不通过 Unified Access Gateway 进行的内部访问,桌面仍将需要具有 SSL 证书。
基本功能
Unified Access Gateway 的基本功能如下所示。
- 客户端会与反向代理建立连接,当返回响应时,客户端会拦截该响应。
- 该连接可由浏览器或 Horizon Client 建立。
- 建立虚拟桌面会话后,根据用户选择的协议,可以将 PCoIP SG、Blast SG 或 View 隧道用于虚拟桌面流量。隧道将用于 RDP 协议以及 USB 连接。
部署中使用的 Unified Access Gateway 具有以下特性:
- 无需进行身份验证(至少对于第一个版本)。这一责任将由租户设备承担。
- 如果最终用户从企业网络外部访问解决方案,则所有通信都将通过 Unified Access Gateway 进行代理。这包括:
- 所有特定于 View 的协议处理(XMLAPI、PCoIP 等)
- 任何租户设备通信
Unified Access Gateway 与 dtRAM
下表概述了 dtRAM 与 Unified Access Gateway 之间的主要差异。
| dtRAM(不再受支持) | Unified Access Gateway |
|---|---|
| 租户设备位于 dtRAM 前面,并控制其操作 | Unified Access Gateway 设备位于租户设备前面,以便租户不知道该设备的存在。租户需要进行软件更改,以适应这一新的架构转换。 |
| 不使用已安装的 PSG(或者 BSG 或隧道)网关 | 使用已安装的 PSG(或者 BSG 或隧道)网关 |
| 需要从客户端为 PCoIP 等使用一系列广泛的端口,并要求客户打开所有这些端口以允许访问 | 所有 PCoIP 流量都可以通过标准端口 (4172) 传入。其他单个端口用于 BSG 和隧道。 |
| 基于 BSD 并使用“pf”转发流量 | 具有内置代理功能的 Linux 设备 |
| 支持 HA 群集 | 如果您选择配置负载平衡器,则可以使用 HA 群集 |
| 存在安全漏洞,因为它只能验证基于源 IP 地址的流量 | 使用深度协议检查技术,确保在将来自客户端的流量传递到虚拟桌面之前对该流量进行正确验证 |
以下是有关 Unified Access Gateway 性能的一些注意事项。
- 容量 – Unified Access Gateway 已针对多达 2,000 个并发会话进行了测试,但您的系统可以处理的会话数取决于发送和接收的数据量(例如,视频内容)。
- 监控 – Unified Access Gateway 当前没有内部监控工具。
- 重新引导 – 对 Unified Access Gateway 执行重新引导操作会断开所有活动用户的连接。用户的桌面会话将保持活动状态,但用户需要重新建立连接才能重新获得对桌面的访问权限。如果将 Unified Access Gateway 部署在具有多个 Unified Access Gateway 的负载平衡配置中,则任何活动用户或新用户都将能够立即通过负载平衡器重新连接,并且在一个 Unified Access Gateway 重新引导时,该连接将由另一个 Unified Access Gateway 进行处理。
- 高可用性/故障切换 – 如果您选择配置负载平衡器,则可以使用 HA 群集(请参阅附录 A 中的示例)。
