エンドユーザー コンピューティング製品およびサービスの Unified Access Gateway には、 Workspace ONE および VMware Horizon のオンプレミス デプロイのための高可用性が必要です。ただし、サードパーティのロード バランサを使用すると、展開およびトラブルシューティングのプロセスが複雑になります。このソリューションにより、DMZ のフロントエンド Unified Access Gateway にサードパーティのロード バランサを使用する必要がなくなります。

注: このソリューションは汎用のロード バランサを提供することではありません。
Unified Access Gateway は、このデプロイ モードを優先するユーザーのために引き続きフロントでのサードパーティのロード バランサをサポートし続けます。詳細については、「 ロード バランシングのトポロジ」を参照してください。 Unified Access Gateway 高可用性は、Amazon AWS および Microsoft Azure のデプロイではサポートされていません。

実装

Unified Access Gateway には、管理者の IPv4 仮想 IP アドレスとグループ ID が必要です。Unified Access Gateway は、同じ仮想 IP アドレスとグループ ID で構成されているクラスタ内の 1 台のノードにのみ仮想 IP アドレスを割り当てます。仮想 IP アドレスを保持している Unified Access Gateway で障害が発生すると、仮想 IP アドレスはクラスタ内で使用可能な 1 台のノードに自動的に再割り当てされます。高可用性および負荷分散は、同じグループ ID で構成されたクラスタ内のノード間で発生します。

同じ送信元 IP アドレスから発信される複数の接続は、そのクライアントからの Horizon と Web リバース プロキシのための最初の接続を処理する同じ Unified Access Gateway に送信されます。このソリューションは、クラスタ内で 10,000 個の同時接続をサポートします。
注: セッション アフィニティは、このような場合に必要です。
VMware Tunnel (Per-App VPN)、 Secure Email Gateway および Content Gateway サービスの場合、高可用性と負荷分散は最小接続アルゴリズムを使用して行われます。
注: これらの接続はステートレスであり、セッション アフィニティは必要ありません。

モードとアフィニティ

異なる Unified Access Gateway サービスには異なるアルゴリズムが必要です。

  • VMware Horizon および Web リバース プロキシの場合 - 送信元 IP アドレスのアフィニティは分散のためのラウンド ロビン アルゴリズムで使用されます。
  • VMware Tunnel (Per-App VPN) および Content Gateway の場合 - セッションのアフィニティはなく、分散には最小接続アルゴリズムが使用されます。
受信トラフィックの分散に使用される方法:

  1. 送信元 IP アドレスのアフィニティ: クライアント接続と Unified Access Gateway ノード間のアフィニティを維持します。同じ送信元 IP アドレスの接続はすべて同じ Unified Access Gateway ノードに送信されます。

  2. 高可用性を備えたラウンド ロビン モード: 受信接続要求は、Unified Access Gateway ノードのグループに順次分散されます。

  3. 高可用性を備えた最小接続モード: 新しい接続要求はクライアントからの現在の接続数が最も少ない Unified Access Gateway ノードに送信されます。

注: 送信元 IP アドレスのアフィニティは、受信接続の IP アドレスが各クライアント接続に対して一意の場合にのみ機能します。例: クライアントと Unified Access Gateway 間に SNAT ゲートウェイのようなネットワーク コンポーネントがある場合、送信元 IP アドレスのアフィニティは機能しません。それは、複数の異なるクライアントから Unified Access Gateway への着信トラフィックが同じ送信元 IP アドレスを持つためです。
注: 仮想 IP アドレスは、 eth0 インターフェイスと同じサブネットに属している必要があります。

前提条件

  • 高可用性に使用される仮想 IP アドレスは一意で使用可能でなければなりません。Unified Access Gateway は構成時に一意であるかどうかを検証しません。IP アドレスは割り当て済みとして表示されますが、仮想マシンまたは物理マシンが IP アドレスに関連付けられている場合はアクセスできない可能性があります。
  • グループ ID は、指定されたサブネット内で一意である必要があります。グループ ID が一意でない場合、矛盾した仮想 IP アドレスがグループ内で割り当てられる可能性があります。たとえば、2 台以上の Unified Access Gateway ノードが、同じ仮想 IP アドレスを取得しようとする場合があります。その場合、複数の Unified Access Gateway ノード間で仮想 IP アドレスが切り替わる可能性があります。
  • Horizon または Web リバース プロキシのための高可用性を設定するには、Unified Access Gateway のすべてのノード上の TLS サーバ証明書が同じであることを確認します。
  • HA が構成されている場合は、ポート 443 で FQDN を使用して VIP にアクセスしていることを確認します。

制限

  • フローティング仮想 IP アドレスには IPv4 がサポートされます。IPv6 はサポートされません。
  • TCP 高可用性のみがサポートされます。
  • UDP 高可用性はサポートされません。
  • VMware Horizon の使用事例では、Horizon 接続サーバへの XML API トラフィックのみが高可用性を使用します。高可用性は、Blast、PCoIP、RDP などのプロトコル(表示)トラフィックの負荷分散には使用されません。したがって、仮想 IP アドレスに加えて Unified Access Gateway ノードの個々の IP アドレスも VMware Horizon クライアントにアクセス可能でなければなりません。

Unified Access Gateway 上で高可用性に必要な構成

Unified Access Gateway で高可用性を構成する方法については、「高可用性設定の構成」を参照してください。