Horizon Cloud 容器的网关配置中配置 RADIUS 双因素身份验证设置后,您还必须配置 RADIUS 服务器配置,以允许来自特定网关相关 IP 地址的客户端请求。网关的 Unified Access Gateway 实例将尝试通过特定 IP 地址来与 RADIUS 服务器进行通信。网络管理员将确定 RADIUS 服务器对容器的 Azure 虚拟网络 (VNet) 和子网的网络可见性。该网络可见性和容器网关类型(外部或内部)的组合可以确定,必须配置为 RADIUS 服务器配置所允许的客户端的特定网关相关 IP 地址。

重要事项:

在 RADIUS 双因素身份验证系统的对应文档中,查看 RADIUS 系统中使用的特定配置文件的语法,您必须在此配置文件中配置此客户端信息。例如,如 FreeRADIUS wiki for FreeRADIUS 客户端配置中所述,/etc/raddb/clients.conf 文件包含 RADIUS 客户端的定义,如下所示:

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

本主题介绍了在 RADIUS 服务器中必须使用的 Horizon Cloud 容器的信息,以便可以启用容器网关间的通信,同时还可以在每个容器更新后保持该通信的弹性。要接受客户机尝试建立的连接,RADIUS 服务器需要将这些客户机的 IP 注册为允许的客户端。在为 Horizon Cloud 容器网关配置了 RADIUS 双因素身份验证设置的情况下,这些客户机就是该网关的 Unified Access Gateway 实例。通常,网络管理员将确定 RADIUS 服务器对连接到已部署容器的 VNet 及子网所具有的网络访问权限。当与 RADIUS 服务器联系时,Unified Access Gateway 实例使用的特定源 IP 取决于:

  • 网关配置是内部还是外部
  • 网络管理员是已将 RADIUS 服务器配置为可从容器 VNet 内访问,还是位于 VNet 外部
  • 如果在容器 VNet 内可以访问 RADIUS 服务器,则网络管理员需要配置在该 VNet 的哪个容器子网中可以访问 RADIUS 服务器
内部网关配置
为内部网关配置部署的 Unified Access Gateway 实例将使用其网卡的专用 IP 地址来与该 RADIUS 服务器联系。此 RADIUS 服务器会看到来自源 IP 地址(即网卡的专用 IP 地址)的请求。网络管理员已配置了是可从容器的管理子网还是租户子网的 IP 地址范围来访问 RADIUS 服务器。Microsoft Azure 中的内部网关资源组具有四 (4) 个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。在执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的通信连接,您必须将 RADIUS 服务器配置为允许与 Microsoft Azure 内部网关资源组中四个网卡(对应于对 RADIUS 服务器可见的子网)的 IP 地址建立客户端连接。请参阅 如何将容器网关网卡的 IP 地址添加为请求所允许的客户端
外部网关配置以及可从容器 VNet 内访问的 RADIUS 服务器
当网络管理员将 RADIUS 服务器配置为可从容器所在 VNet 中访问时, Unified Access Gateway 实例将使用其网卡的专用 IP 地址来与 RADIUS 服务器联系。此 RADIUS 服务器会看到来自源 IP 地址(即网卡的专用 IP 地址)的请求。网络管理员已配置了是可从容器的管理子网、租户子网还是 DMZ 子网的 IP 地址范围来访问 RADIUS 服务器。Microsoft Azure 中的外部网关资源组具有四 (4) 个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。在执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的通信连接,您必须将 RADIUS 服务器配置为允许与 Microsoft Azure 外部网关资源组中四个网卡(对应于对 RADIUS 服务器可见的子网)的 IP 地址建立客户端连接。请参阅 如何将容器网关网卡的 IP 地址添加为请求所允许的客户端
外部网关配置以及可在容器 VNet 外部访问的 RADIUS 服务器
当网络管理员在容器 VNet 外部配置了 RADIUS 服务器时,外部网关配置的 Unified Access Gateway 实例将使用外部网关的 Azure 负载均衡器资源的 IP 地址来与 RADIUS 服务器联系。您必须将 RADIUS 服务器配置为允许与外部网关的负载均衡器资源的 IP 地址建立客户端连接。请参阅 如何将容器外部网关的负载均衡器 IP 地址添加为请求所允许的客户端

如何将容器网关网卡的 IP 地址添加为请求所允许的客户端

部署容器时,容器部署程序会在您的 Microsoft Azure 订阅中的网关资源组中创建一组网卡。以下屏幕截图是内部网关类型和外部网关类型的网卡示例。即使在这些屏幕截图中容器 ID 已进行了模糊处理,您仍可以看到部署程序命名网卡时所使用的格式,-management-tenant-dmz 会出现在这些名称中。要了解容器的资源组名称,请参阅为 Microsoft Azure 中部署的容器创建的资源组


容器部署程序为内部网关配置创建的网卡和虚拟机的屏幕截图。


容器部署程序为外部网关配置创建的网卡和虚拟机的屏幕截图。

您需要为已启用 RADIUS 双因素身份验证的网关配置获取网卡(对应于对 RADIUS 服务器可见的子网)的 IP 地址,并将这些 IP 地址指定为 RADIUS 服务器配置所允许的客户端。

重要事项: 为避免在更新后 RADIUS 服务器与容器之间的连接中断,对于使用 RADIUS 设置配置的每个网关,请确保下述四 (4) 个网卡的 IP 地址已指定为 RADIUS 服务器配置所允许的客户端。即使在执行日常容器操作时只有一半网卡处于活动状态,它们也会在容器更新后进行切换。容器更新后,另一半网卡会变为活动状态,更新前网卡将变为空闲状态,直到下次容器更新时他们的状态才会切换回来。如果尚未将所有网卡 IP 地址(活动和空闲)添加到 RADIUS 服务器配置中,则 RADIUS 服务器将拒绝来自容器更新后、现在变为活动状态的一组网卡的连接请求,并且使用该网关的最终用户的登录过程也会中断。

要获取需要添加到 RADIUS 服务器配置中的网关网卡 IP 地址:

  1. 从网络管理员处获取有关容器的哪个子网(管理子网、租户子网还是 dmz 子网)对 RADIUS 服务器可见的信息。
  2. 登录到 Microsoft Azure 门户,查看您的订阅,并找到网关的资源组。
  3. 对于网络管理员声称对 RADIUS 服务器可见的子网所对应的网卡,请单击每个网卡并复制其 IP 地址。
  4. 将这些网卡 IP 地址添加到 RADIUS 服务器客户端配置文件中,从而使这些网卡成为该网关设置中配置的 RADIUS 服务器所允许的客户端。

    以下行展示了客户端配置行的一部分,其中网卡的 IP 地址位于内部网关容器的租户子网中,网络管理员已将同一 VNet 中的 RADIUS 服务器配置为容器,同时容器的租户子网可以访问这些网卡。部署此容器时,此容器的租户子网配置为 192.168.25.0/22。最初部署容器时,网卡 1 和网卡 2 处于活动状态,网卡 3 和网卡 4 处于空闲状态。但是,所有四个网卡均会添加到 RADIUS 服务器配置中,以确保在完成容器更新后,当网卡 3 和网卡 4 变为活动状态,网卡 1 和网卡 2 进入空闲状态时,RADIUS 服务器将继续接受来自此网关的连接。您必须使用适用于自己的 RADIUS 服务器的语法。

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

如何将容器外部网关的负载均衡器 IP 地址添加为请求所允许的客户端

当 RADIUS 服务器位于容器 VNet 的外部时,对于您在其中指定了 RADIUS 服务器的外部网关,您必须将该外部网关的 Azure 负载均衡器资源的公共 IP 地址添加为该 RADIUS 服务器配置所允许的客户端。您可以使用 Microsoft Azure 门户并在网关资源组中找到负载均衡器资源来获取负载均衡器的 IP 地址。

  1. 登录到 Microsoft Azure 门户,查看您的订阅,并找到网关的资源组。
  2. 在网关的资源组中,单击负载均衡器资源。它具有以下格式的名称:vmw-hcs-podID-uag-lb。将在其概述信息中列出其 IP 地址。
  3. 将网关的负载均衡器 IP 地址添加到 RADIUS 服务器客户端配置文件中,从而使该网关的负载均衡器成为该网关设置中配置的 RADIUS 服务器所允许的客户端。下面是一个说明性示例。您必须使用适用于自己的 RADIUS 服务器的语法。
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }