Unified Access Gateway pour les produits informatiques et les services d'utilisateurs finaux nécessite une haute disponibilité pour les déploiements de Workspace ONE et de VMware Horizon sur site. En revanche, l'utilisation d'équilibrages de charge tiers augmente la complexité du processus de déploiement et de dépannage. Cette solution réduit le besoin d'un équilibrage de charge tiers dans la zone DMZ se trouvant devant Unified Access Gateway.

Note : Cette solution n'est pas un équilibrage de charge générique.
Unified Access Gateway continue à prendre en charge les équilibrages de charge tiers devant, pour les utilisateurs qui préfèrent ce mode de déploiement. Pour plus d'informations, reportez-vous à la documentation Topologies d'équilibrage de charge. La haute disponibilité d' Unified Access Gateway n'est pas prise en charge pour les déploiements d'Amazon AWS et de Microsoft Azure.

Implémentation

Unified Access Gateway nécessite l'adresse IP virtuelle IPv4 et un ID de groupe provenant de l'administrateur. Unified Access Gateway attribue l'adresse IP virtuelle à l'un des nœuds seulement dans le cluster configuré avec la même adresse IP virtuelle et le même ID de groupe. En cas d'échec de l'instance d'Unified Access Gateway contenant l'adresse IP virtuelle, celle-ci est réattribuée automatiquement à l'un des nœuds disponibles dans le cluster. La distribution de la haute disponibilité et des charges se produit entre les nœuds du cluster configuré avec le même ID de groupe.

Plusieurs connexions provenant de la même adresse IP source sont envoyées à la même instance d' Unified Access Gateway qui traite la première connexion à partir de ce client pour Horizon et le proxy inverse Web. Cette solution prend en charge 10 000 connexions simultanées dans le cluster.
Note : L'affinité de session est requise pour ces cas spécifiques.
Pour les services VMware Tunnel (VPN par application), Secure Email Gateway et Content Gateway, la distribution de la haute disponibilité et des charges s'effectue à l'aide de l'algorithme Least Connection.
Note : Ces connexions sont sans état et l'affinité de session n'est pas nécessaire.

Mode et Affinité

Des services différents d'Unified Access Gateway requièrent des algorithmes différents.

  • Pour VMware Horizon et le proxy inverse Web : l'affinité d'adresse IP source est utilisée avec l'algorithme Round Robin pour la distribution.
  • Pour VMware Tunnel (VPN par application) et Content Gateway : il n'existe aucune affinité de session et l'algorithme Least Connection est utilisé pour la distribution.
Méthodes permettant de distribuer le trafic entrant :
  1. Affinité d'adresse IP source : gère l'affinité entrez la connexion client et le nœud Unified Access Gateway. Toutes les connexions ayant la même adresse IP source sont envoyées au même nœud Unified Access Gateway.

  2. Mode Round Robin avec haute disponibilité : les demandes de connexion entrante sont distribuées séquentiellement dans le groupe de nœuds Unified Access Gateway.

  3. Mode Least Connection avec haute disponibilité : une nouvelle demande de connexion est envoyée au nœud Unified Access Gateway avec le nombre minimal de connexions actives des clients.

Note : L'affinité d'adresse IP source fonctionne uniquement si l'adresse IP de la connexion entrante est unique pour chaque connexion client. Exemple : s'il y a un composant réseau, tel qu'une passerelle SNAT entre les clients et Unified Access Gateway, l'affinité d'adresse IP source ne fonctionne pas, car le trafic entrant depuis plusieurs clients différents vers Unified Access Gateway utilise la même adresse IP source.
Note : L'adresse IP virtuelle doit appartenir au même sous-réseau que l'interface eth0.

Conditions préalables

  • L'adresse IP virtuelle utilisée pour la haute disponibilité doit être unique et disponible. Unified Access Gateway ne confirme pas si elle est unique lors de la configuration. L'adresse IP peut s'afficher comme étant attribuée, mais elle peut ne pas être accessible si une machine virtuelle ou physique est associée à l'adresse IP.
  • ID de groupe doit être unique dans un sous-réseau donné. Si l'ID de groupe n'est pas unique, une adresse IP virtuelle incompatible peut être attribuée au groupe. Par exemple, au minimum deux nœuds Unified Access Gateway peuvent finir par obtenir la même adresse IP virtuelle. Cela peut provoquer le basculement de l'adresse IP virtuelle entre plusieurs nœuds Unified Access Gateway.
  • Pour configurer la haute disponibilité d'Horizon ou du proxy inverse Web, assurez-vous que le certificat de serveur TLS sur tous les nœuds d'Unified Access Gateway sont identiques.
  • Si la haute disponibilité est configurée, assurez-vous que l'adresse IP virtuelle est accessible à l'aide du nom de domaine complet sur le port 443.

Limites

  • IPv4 est pris en charge pour l'adresse IP virtuelle flottante. IPv6 n'est pas pris en charge.
  • Seule la haute disponibilité de TCP est prise en charge.
  • La haute disponibilité d'UDP n'est pas prise en charge.
  • Avec le cas d'utilisation de VMware Horizon, seul le trafic de l'API XML vers le Serveur de connexion Horizon utilise la haute disponibilité. La haute disponibilité n'est pas utilisée pour distribuer la charge du trafic de protocole (affichage) tel que Blast, PCoIP, RDP. Par conséquent, les adresses IP individuelles (ainsi que l'adresse IP virtuelle) des nœuds Unified Access Gateway doivent être également accessibles aux clients de VMware Horizon.

Configuration requise pour la haute disponibilité dans chaque instance d'Unified Access Gateway

Pour la configuration de la haute disponibilité dans Unified Access Gateway, consultez la section Configurer les paramètres de la haute disponibilité.