Unified Access Gateway para servicios y productos de computación de usuario final requiere una alta disponibilidad para las implementaciones de Workspace ONE y VMware Horizon en las instalaciones. Sin embargo, el uso de equilibradores de carga de terceros es una cuestión añadida a la complejidad de la implementación y el proceso de solución de problemas. Esta solución reduce la necesidad de un equilibrador de cargas de terceros, en el dispositivo Unified Access Gateway en front-end con una DMZ.

Nota: Esta solución no es un equilibrador de cargas de tipo genérico.
Unified Access Gateway sigue siendo compatible con los equilibradores de carga de terceros en front-end, para los usuarios que prefieren este modo de implementación. Si desea obtener más información, consulte Unified Access GatewayTopologías de equilibrio de carga. Unified Access Gateway de alta disponibilidad no es compatible con Amazon AWS y las implementaciones de Microsoft Azure.

Implementación

Unified Access Gateway requiere la dirección IP virtual de IPv4 y un ID de grupo del administrador. Unified Access Gateway asigna la dirección IP virtual a solo uno de los nodos del clúster que está configurado con la misma dirección IP virtual y el mismo ID de grupo. Si falla el dispositivo Unified Access Gateway que mantiene la dirección IP virtual, la dirección IP virtual se reasigna automáticamente a uno de los nodos disponibles en el clúster. La alta disponibilidad y la distribución de carga se produce entre los nodos del clúster que está configurado con el mismo ID de grupo.

Se envían varias conexiones procedentes de la misma dirección IP de origen al mismo dispositivo Unified Access Gateway que procesa la primera conexión de dicho cliente para Horizon y el proxy inverso de web. Esta solución admite 10.000 conexiones simultáneas en el clúster.
Nota: Para estos casos se requiere la afinidad de sesión.
Para VMware Tunnel (VPN por aplicación), Secure Email Gateway y los servicios de Content Gateway, la alta disponibilidad y la distribución de carga se realiza con el algoritmo de conexiones mínimas.
Nota: Estas conexiones son sin estado y no se requiere la afinidad de sesión.

Modo y afinidad

Diferentes servicios de Unified Access Gateway requieren algoritmos distintos.

  • Para VMware Horizon y el proxy inverso de web: la afinidad de la IP de origen se utiliza con el algoritmo round-robin para la distribución.
  • Para VMware Tunnel (VPN por aplicación) y Content Gateway: no hay ninguna afinidad de sesión y se utiliza el algoritmo de conexiones mínimas para la distribución.
Métodos que se utilizan para distribuir el tráfico entrante:
  1. Afinidad de la IP de origen: mantiene la afinidad entre la conexión del cliente y el nodo de Unified Access Gateway. Todas las conexiones con la misma dirección IP de origen se envían al mismo nodo de Unified Access Gateway.

  2. Modo round-robin con alta disponibilidad: las solicitudes de conexión entrantes se distribuyen por el grupo de nodos de Unified Access Gateway secuencialmente.

  3. Modo de conexiones mínimas con alta disponibilidad: se envía una nueva solicitud de conexión al nodo de Unified Access Gateway con la menor cantidad de conexiones actuales de los clientes.

Nota: La afinidad de la IP de origen solo funciona si la dirección IP de la conexión entrante es única para cada conexión de cliente. Ejemplo: Si hay un componente de red, como una puerta de enlace SNAT entre los clientes y Unified Access Gateway, la afinidad de la IP de origen no funciona, ya que el tráfico entrante desde varios clientes diferentes a Unified Access Gateway tiene la misma dirección IP de origen.
Nota: La dirección IP virtual debe pertenecer a la misma subred que la interfaz eth0.

Requisitos previos

  • La dirección IP virtual utilizada para la alta disponibilidad debe ser única y estar disponible. Unified Access Gateway no efectúa la validación si es única durante la configuración. La dirección IP puede aparecer como asignada pero puede no ser accesible si una máquina virtual o una máquina física está asociada a la dirección IP.
  • El ID de grupo deben ser único en una subred determinada. Si el ID de grupo no es único, es posible que se asigne una dirección IP virtual incoherente en el grupo. Por ejemplo, dos o más nodos de Unified Access Gateway pueden acabar intentando adquirir la misma dirección IP virtual. Esto podría provocar que la dirección IP virtual se alternara entre varios nodos de Unified Access Gateway.
  • Para configurar la alta disponibilidad para Horizon o el proxy inverso de web, asegúrese de que el certificado de servidor TLS en todos los nodos de Unified Access Gateway sea el mismo.
  • Si la alta disponibilidad (HA) está configurada, asegúrese de que se acceda a la VIP mediante el FQDN en el puerto 443.

Limitaciones

  • La dirección IPv4 es compatible con la dirección IP virtual flotante. IPv6 no es compatible.
  • Solo se admite TCP de alta disponibilidad.
  • No se admite la alta disponibilidad de UDP.
  • Con el caso de uso de VMware Horizon, solo el tráfico de la API de XML al servidor de conexión de Horizon usa alta disponibilidad. La alta disponibilidad no se utiliza para distribuir la carga para el tráfico (de visualización) del protocolo, como Blast, PCoIP o RDP. Por lo tanto, las direcciones IP individuales de los nodos de Unified Access Gateway también deben ser accesibles para los clientes de VMware Horizon, además de la dirección IP virtual.

Configuración necesaria para la alta disponibilidad en cada Unified Access Gateway

Para configurar la alta disponibilidad en Unified Access Gateway, consulte Configurar los ajustes de alta disponibilidad.