Unified Access Gateway für End-User Computing-Produkte und -Dienste erfordert Hochverfügbarkeit für lokale Workspace ONE- und VMware Horizon-Bereitstellungen. Bei der Verwendung von Drittanbieter-Lastausgleichsdiensten wird die Bereitstellung und Fehlerbehebung jedoch noch komplexer. Diese Lösung verringert die Notwendigkeit eines Drittanbieter-Lastausgleichsdiensts in Unified Access Gateway am DMZ-Front-End.

Hinweis: Diese Lösung ist kein allgemeiner Lastausgleichsdienst.
Unified Access Gateway unterstützt weiterhin Drittanbieter-Lastausgleichsdienste am Front-End für Benutzer, die diesen Bereitstellungsmodus bevorzugen. Weitere Informationen finden Sie unter Unified Access Gateway-Topologien für den Lastausgleich. Unified Access Gateway-Hochverfügbarkeit wird für Amazon AWS- und Microsoft Azure-Bereitstellungen nicht unterstützt.

Implementierung

Unified Access Gateway erfordert die virtuelle IPv4-IP-Adresse und eine Gruppen-ID vom Administrator. Unified Access Gateway weist die virtuelle IP-Adresse nur einem der Knoten im Cluster zu, der mit derselben virtuellen IP-Adresse und Gruppen-ID konfiguriert ist. Wenn bei der Unified Access Gateway-Instanz, die die virtuelle IP-Adresse aufweist, ein Fehler auftritt, wird die virtuelle IP-Adresse automatisch erneut einem der im Cluster verfügbaren Knoten zugewiesen. Die Hochverfügbarkeit und die Verteilung der Last wird für die Knoten im Cluster vorgenommen, die mit derselben Gruppen-ID konfiguriert sind.

Mehrere Verbindungen, die von derselben Quell-IP-Adresse stammen, werden an dieselbe Unified Access Gateway-Instanz gesendet, die die erste Verbindung von diesem Client Horizon und Web-Reverse-Proxy verarbeitet. Diese Lösung unterstützt 10.000 gleichzeitige Verbindungen im Cluster.
Hinweis: Die Sitzungsaffinität ist für diese Fälle erforderlich.
Für VMware Tunnel (App-basiertes VPN), Secure Email Gateway und Content Gateway-Dienste erfolgt die Hochverfügbarkeit und die Lastverteilung über den Algorithmus mit den wenigsten Verbindungen.
Hinweis: Diese Verbindungen sind statusfrei, und es ist keine Sitzungsaffinität erforderlich.

Modus und Affinität

Für unterschiedliche Unified Access Gateway-Dienste sind unterschiedliche Algorithmen erforderlich.

  • Für VMware Horizon und Web-Reverse-Proxy: Für die Verteilung wird die Quell-IP-Affinität mit dem Round-Robin-Algorithmus verwendet.
  • Für VMware Tunnel (App-basiertes VPN) und Content Gateway: Es gibt keine Sitzungsaffinität und für die Verteilung wird der Algorithmus mit den wenigsten Verbindungen verwendet.
Für die Verteilung des eingehenden Datenverkehrs verwendete Methoden:

  1. Quell-IP-Affinität: Behält die Affinität zwischen der Client-Verbindung und dem Unified Access Gateway-Knoten bei. Alle Verbindungen mit derselben Quell-IP-Adresse werden an denselben Unified Access Gateway-Knoten gesendet.

  2. Round-Robin-Modus mit Hochverfügbarkeit: Anforderungen für eingehende Verbindungen werden nacheinander auf die Gruppe der Unified Access Gateway-Knoten verteilt.

  3. Modus mit den wenigsten Verbindungen mit Hochverfügbarkeit: Eine neue Verbindungsanforderung wird an den Unified Access Gateway-Knoten mit der geringsten Anzahl an aktuellen Verbindungen von Clients gesendet.

Hinweis: Die Quell-IP-Affinität funktioniert nur, wenn die IP-Adresse der eingehenden Verbindung für jede Client-Verbindung eindeutig ist. Beispiel: Wenn eine Netzwerkkomponente wie ein SNAT-Gateway zwischen den Clients und Unified Access Gateway vorhanden ist, dann funktioniert die Quell-IP-Affinität nicht, da der bei Unified Access Gateway eingehende Datenverkehr von mehreren verschiedenen Clients dieselbe Quell-IP-Adresse hat.
Hinweis: Die virtuelle IP-Adresse muss zum selben Subnetz wie die eth0-Schnittstelle gehören.

Voraussetzungen

  • Die für die Hochverfügbarkeit verwendete virtuelle IP-Adresse muss eindeutig und verfügbar sein. Unified Access Gateway überprüft während der Konfiguration nicht, ob sie eindeutig ist. Die IP-Adresse wird möglicherweise als zugewiesen angezeigt, ist aber nicht erreichbar, sofern der IP-Adresse eine VM oder physischen Maschine zugewiesen ist.
  • Die Gruppen-ID muss in einem bestimmten Subnetz eindeutig sein. Wenn die Gruppen-ID nicht eindeutig ist, wird in der Gruppe möglicherweise eine inkonsistente virtuelle IP-Adresse zugewiesen. Beispielsweise versuchen zwei oder mehr Unified Access Gateway-Knoten, dieselbe virtuelle IP-Adresse abzurufen. Das kann dazu führen, dass die virtuelle IP-Adresse zwischen mehreren Unified Access Gateway-Knoten wechselt.
  • Um die Hochverfügbarkeit für Horizon oder Web-Reverse-Proxy einzurichten, stellen Sie sicher, dass das TLS-Serverzertifikat in allen Knoten von Unified Access Gateway identisch ist.
  • Wenn HA konfiguriert ist, stellen Sie sicher, dass der Zugriff auf das VIP über den FQDN an Port 443 erfolgt.

Einschränkungen

  • IPv4 wird für die flexible virtuelle IP-Adresse unterstützt. IPv6 wird nicht unterstützt.
  • Nur TCP-Hochverfügbarkeit wird unterstützt.
  • UDP-Hochverfügbarkeit wird nicht unterstützt.
  • Beim VMware Horizon-Anwendungsfall wird die Hochverfügbarkeit nur für den XML-API-Datenverkehr zum Horizon-Verbindungsserver verwendet. Die Hochverfügbarkeit wird nicht verwendet, um die Last für den Protokolldatenverkehr (Anzeige) wie Blast, PCoIP oder RDP zu verteilen. Aus diesem Grund müssen VMware Horizon-Clients zusätzlich zur virtuellen IP-Adresse auch auf die einzelnen IP-Adressen der Unified Access Gateway-Knoten zugreifen können.

Erforderliche Konfiguration für Hochverfügbarkeit auf jedem Unified Access Gateway

Informationen zum Konfigurieren der Hochverfügbarkeit für Unified Access Gateway finden Sie unter Konfigurieren von Hochverfügbarkeitseinstellungen.