Unified Access Gateway para servicios y productos de computación de usuario final requiere una alta disponibilidad para las implementaciones de Workspace ONE y VMware Horizon en las instalaciones. Sin embargo, el uso de equilibradores de carga de terceros es una cuestión añadida a la complejidad de la implementación y el proceso de solución de problemas. Esta solución reduce la necesidad de un equilibrador de cargas de terceros, en el dispositivo Unified Access Gateway en front-end con una DMZ.
Implementación
Unified Access Gateway requiere la dirección IP virtual de IPv4 y un ID de grupo del administrador. Unified Access Gateway asigna la dirección IP virtual a solo uno de los nodos del clúster que está configurado con la misma dirección IP virtual y el mismo ID de grupo. Si falla el dispositivo Unified Access Gateway que mantiene la dirección IP virtual, la dirección IP virtual se reasigna automáticamente a uno de los nodos disponibles en el clúster. La alta disponibilidad y la distribución de carga se produce entre los nodos del clúster que está configurado con el mismo ID de grupo.
Modo y afinidad
Diferentes servicios de Unified Access Gateway requieren algoritmos distintos.
- Para VMware Horizon y el proxy inverso de web: la afinidad de la IP de origen se utiliza con el algoritmo round-robin para la distribución.
- Para VMware Tunnel (VPN por aplicación) y Content Gateway: no hay ninguna afinidad de sesión y se utiliza el algoritmo de conexiones mínimas para la distribución.
-
Afinidad de la IP de origen: mantiene la afinidad entre la conexión del cliente y el nodo de Unified Access Gateway. Todas las conexiones con la misma dirección IP de origen se envían al mismo nodo de Unified Access Gateway.
-
Modo round-robin con alta disponibilidad: las solicitudes de conexión entrantes se distribuyen por el grupo de nodos de Unified Access Gateway secuencialmente.
-
Modo de conexiones mínimas con alta disponibilidad: se envía una nueva solicitud de conexión al nodo de Unified Access Gateway con la menor cantidad de conexiones actuales de los clientes.
Requisitos previos
- La dirección IP virtual utilizada para la alta disponibilidad debe ser única y estar disponible. Unified Access Gateway no efectúa la validación si es única durante la configuración. La dirección IP puede aparecer como asignada pero puede no ser accesible si una máquina virtual o una máquina física está asociada a la dirección IP.
- El ID de grupo deben ser único en una subred determinada. Si el ID de grupo no es único, es posible que se asigne una dirección IP virtual incoherente en el grupo. Por ejemplo, dos o más nodos de Unified Access Gateway pueden acabar intentando adquirir la misma dirección IP virtual. Esto podría provocar que la dirección IP virtual se alternara entre varios nodos de Unified Access Gateway.
- Para configurar la alta disponibilidad para Horizon o el proxy inverso de web, asegúrese de que el certificado de servidor TLS en todos los nodos de Unified Access Gateway sea el mismo.
- Si la alta disponibilidad (HA) está configurada, asegúrese de que se acceda a la VIP mediante el FQDN en el puerto 443.
Limitaciones
- La dirección IPv4 es compatible con la dirección IP virtual flotante. IPv6 no es compatible.
- Solo se admite TCP de alta disponibilidad.
- No se admite la alta disponibilidad de UDP.
- Con el caso de uso de VMware Horizon, solo el tráfico de la API de XML al servidor de conexión de Horizon usa alta disponibilidad. La alta disponibilidad no se utiliza para distribuir la carga para el tráfico (de visualización) del protocolo, como Blast, PCoIP o RDP. Por lo tanto, las direcciones IP individuales de los nodos de Unified Access Gateway también deben ser accesibles para los clientes de VMware Horizon, además de la dirección IP virtual.
Configuración necesaria para la alta disponibilidad en cada Unified Access Gateway
Para configurar la alta disponibilidad en Unified Access Gateway, consulte Configurar los ajustes de alta disponibilidad.