エンドユーザー コンピューティング製品およびサービスの Unified Access Gateway には、 Workspace ONE および VMware Horizon のオンプレミス デプロイのための高可用性が必要です。ただし、サードパーティのロード バランサを使用すると、展開およびトラブルシューティングのプロセスが複雑になります。このソリューションにより、DMZ のフロントエンド Unified Access Gateway にサードパーティのロード バランサを使用する必要がなくなります。
実装
Unified Access Gateway には、管理者の IPv4 仮想 IP アドレスとグループ ID が必要です。Unified Access Gateway は、同じ仮想 IP アドレスとグループ ID で構成されているクラスタ内の 1 台のノードにのみ仮想 IP アドレスを割り当てます。仮想 IP アドレスを保持している Unified Access Gateway で障害が発生すると、仮想 IP アドレスはクラスタ内で使用可能な 1 台のノードに自動的に再割り当てされます。高可用性および負荷分散は、同じグループ ID で構成されたクラスタ内のノード間で発生します。
モードとアフィニティ
異なる Unified Access Gateway サービスには異なるアルゴリズムが必要です。
- VMware Horizon および Web リバース プロキシの場合 - 送信元 IP アドレスのアフィニティは分散のためのラウンド ロビン アルゴリズムで使用されます。
- VMware Tunnel (Per-App VPN) および Content Gateway の場合 - セッションのアフィニティはなく、分散には最小接続アルゴリズムが使用されます。
-
送信元 IP アドレスのアフィニティ: クライアント接続と Unified Access Gateway ノード間のアフィニティを維持します。同じ送信元 IP アドレスの接続はすべて同じ Unified Access Gateway ノードに送信されます。
-
高可用性を備えたラウンド ロビン モード: 受信接続要求は、Unified Access Gateway ノードのグループに順次分散されます。
-
高可用性を備えた最小接続モード: 新しい接続要求はクライアントからの現在の接続数が最も少ない Unified Access Gateway ノードに送信されます。
前提条件
- 高可用性に使用される仮想 IP アドレスは一意で使用可能でなければなりません。Unified Access Gateway は構成時に一意であるかどうかを検証しません。IP アドレスは割り当て済みとして表示されますが、仮想マシンまたは物理マシンが IP アドレスに関連付けられている場合はアクセスできない可能性があります。
- グループ ID は、指定されたサブネット内で一意である必要があります。グループ ID が一意でない場合、矛盾した仮想 IP アドレスがグループ内で割り当てられる可能性があります。たとえば、2 台以上の Unified Access Gateway ノードが、同じ仮想 IP アドレスを取得しようとする場合があります。その場合、複数の Unified Access Gateway ノード間で仮想 IP アドレスが切り替わる可能性があります。
- Horizon または Web リバース プロキシのための高可用性を設定するには、Unified Access Gateway のすべてのノード上の TLS サーバ証明書が同じであることを確認します。
制限
- フローティング仮想 IP アドレスには IPv4 がサポートされます。IPv6 はサポートされません。
- TCP 高可用性のみがサポートされます。
- UDP 高可用性はサポートされません。
- VMware Horizon の使用事例では、Horizon 接続サーバへの XML API トラフィックのみが高可用性を使用します。高可用性は、Blast、PCoIP、RDP などのプロトコル(表示)トラフィックの負荷分散には使用されません。したがって、仮想 IP アドレスに加えて Unified Access Gateway ノードの個々の IP アドレスも VMware Horizon クライアントにアクセス可能でなければなりません。
各 Unified Access Gateway 上で高可用性に必要な構成
Unified Access Gateway で高可用性を構成する方法については、「高可用性設定の構成」を参照してください。