El requisito principal de Horizon es admitir instancias de Horizon Client nativas y Horizon Client de HTML Access con control de protocolo para el protocolo de control XML del cliente, el túnel seguro HTTPS de Horizon y el protocolo Blast/HTTPS WebSockets.

Protocolos XML, de túnel y TCP de Blast del cliente en el puerto TCP 443

El requisito principal de Horizon es admitir instancias de Horizon Client nativas y Horizon Client de HTML Access con control de protocolo para el protocolo de control XML del cliente, el túnel seguro HTTPS de Horizon y el protocolo Blast/HTTPS WebSockets.

Todos estos protocolos se pueden admitir mediante el puerto TCP HTTPS 443, por lo que no es necesario permitir otros puertos a través del Firewall 1 exterior o a través del firewall entre Firewall 2 de las zonas DMZ, como se muestra en la Figura 3-1.

Para admitir este conjunto mínimo de protocolos de Horizon con terminación TLS y filtrado de URL, UAG 1 debe configurarse como proxy inverso de web habilitando un servicio perimetral de proxy inverso con el siguiente patrón de proxy 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/view-client/(.*)|/)

Esto restringe el tráfico web, ya que limita el rango de direcciones URL permitidas a las que cumplen el patrón de proxy configurado.

OPSWAT es el proveedor para comprobación de conformidad de endpoints que se admite en Unified Access Gateway. OPSWAT MetaAccess on-demand agent es un cliente de OPSWAT. Si OPSWAT MetaAccess on-demand agent está configurado en UAG 2 y UAG 1 recibe una solicitud de Horizon Client para descargar on-demand agent, UAG 1 debe permitir dicha solicitud para acceder a UAG 2. Para admitir este escenario, UAG 1 debe ejecutar versiones de Unified Access Gateway 3.10 o posteriores y configurarse con el siguiente patrón de proxy, que incluye /gateway/resources/(.*): 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/|/gateway/resources/(.*))

Para obtener información sobre OPSWAT MetaAccess on-demand agent, consulte la documentación de Implementación y configuración de VMware Unified Access Gateway, versiones 3.9 y posteriores.

Para configurar esta opción automáticamente en el momento de la implementación con PowerShell, agregue la siguiente sección de ejemplo al archivo UAG.INI: 

[WebReverseProxy1]
instanceId=Horizon-WRP
proxyDestinationUrl=https://192.168.2.101
proxyDestinationUrlThumbprints=sha1=c5 51 2f a8 1e ef a9
f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
proxyPattern=(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)

Si utiliza la interfaz de usuario del administrador de Unified Access Gateway, agregue un Servicio perimetral de proxy inverso con la siguiente configuración.

Tabla 1. Configuración de la interfaz de usuario del administrador de Unified Access Gateway para el proxy inverso de web
Configuración Valor
Habilitar la configuración del proxy inverso Active esta opción.
ID de instancia Horizon-WRP
URL de destino del proxy https://192.168.2.101
Huellas digitales de la URL de destino del proxy sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
Patrón de proxy (/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)
Nota: Los otros puertos que se describen en el resto de la sección Proxy inverso de web son opcionales, según los requisitos de estos protocolos adicionales.