DMZ 中的 Unified Access Gateway 應用裝置可以設定為指向某個伺服器或位於一組伺服器前方的負載平衡器。Unified Access Gateway 應用裝置可與設定為使用 HTTPS 的標準第三方負載平衡解決方案搭配運作。
若 Unified Access Gateway 應用裝置指向伺服器前方的負載平衡器,在選擇伺服器執行個體時就不會固定不變。例如,負載平衡器可能會根據可用性以及負載平衡器所知道的每個伺服器執行個體上目前的工作階段數目來做出選擇。公司防火牆內部的伺服器執行個體通常具備負載平衡器,以便支援內部存取。在使用 Unified Access Gateway 時,您可以將 Unified Access Gateway 應用裝置指向這個通常已在使用中的相同負載平衡器。
您也可以讓一或多個 Unified Access Gateway 應用裝置指向某一個伺服器執行個體。在這兩種方法中,都請在 DMZ 中的兩部 (含) 以上 Unified Access Gateway 應用裝置前方使用負載平衡器。
Horizon 通訊協定
- 主要 Horizon 通訊協定
使用者在 Horizon Client 輸入主機名稱,而這會啟動主要 Horizon 通訊協定。這是用於驗證授權和工作階段管理的控制通訊協定。此通訊協定透過 HTTPS 使用 XML 結構化訊息。此通訊協定有時稱為 Horizon XML-API 控制通訊協定。在上圖「負載平衡器後方多個 Unified Access Gateway 應用裝置」所示的負載平衡環境中,負載平衡器會將此連線路由傳送至其中一個 Unified Access Gateway 應用裝置。負載平衡器一般會先根據可用性選取應用裝置,然後根據目前工作階段的最小數量,從可用應用裝置路由傳送流量。此組態會在可用的一組 Unified Access Gateway 應用裝置之間,從不同的用戶端平均散佈流量。
- 次要 Horizon 通訊協定
在 Horizon Client 對其中一個 Unified Access Gateway 應用裝置建立安全通訊之後,使用者隨即進行驗證。如果此驗證嘗試成功,則會從 Horizon Client 建立一或多個次要連線。這些次要連線可以包括下列項目:
- 用於封裝 TCP 通訊協定的 HTTPS 通道,例如 RDP、MMR/CDR 和用戶端架構通道。(TCP 443)
- Blast Extreme 顯示通訊協定 (TCP 443、TCP 8443、UDP 443 和 UDP 8443)
- PCoIP 顯示通訊協定 (TCP 4172 和 UDP 4172)
這些次要 Horizon 通訊協定必須路由傳送至主要 Horizon 通訊協定路由傳送到的相同 Unified Access Gateway 應用裝置。然後 Unified Access Gateway 即可根據經過驗證的使用者工作階段來授權次要通訊協定。Unified Access Gateway 的一項重要安全性功能是,僅在流量代表經過驗證的使用者時,Unified Access Gateway 才會將流量轉送至公司資料中心。如果錯誤地將次要通訊協定路由傳送至不同的 Unified Access Gateway 應用裝置,而非主要通訊協定應用裝置,則使用者不會獲得授權,且會放置在 DMZ 中。連線失敗。如果未正確設定負載平衡器,則錯誤地路由傳送次要通訊協定屬於常見問題。
Content Gateway 的負載平衡考量事項
- 設定負載平衡器來「傳送原始 HTTP 標頭」以避免裝置發生連線問題。Content Gateway 會使用要求中的 HTTP 標頭資訊來驗證裝置。
- 每一應用程式通道元件會要求每個用戶端在連線建立後進行驗證。連線之後,系統將會為用戶端建立一個工作階段並儲存在記憶體中。如此一來,每一項用戶端資料都會使用相同的工作階段,讓資料可以使用相同的金鑰進行加密和解密。設計負載平衡解決方案時,必須在啟用 IP/工作階段型持續性的情況下設定負載平衡器。替代的解決方案可能是在用戶端上使用 DNS 循環配置資源,這表示用戶端針對每個連線可以選取不同的伺服器。
健全狀況監控
負載平衡器會藉由透過定期傳送 HTTPS GET /favicon.ico
要求來監控每個 Unified Access Gateway 應用裝置的健全狀況。例如,https://uag1.myco-dmz.com/favicon.ico
。此監控設定於負載平衡器上。它將會執行此 HTTPS GET
,並預期 Unified Access Gateway 的回應為 "HTTP/1.1 200 OK"
,以得知其「狀況良好」。如果其回應是 "HTTP/1.1 200 OK"
以外的回應,或無法取得任何回應,則會將特定 Unified Access Gateway 應用裝置標示為關閉,且不會嘗試將用戶端要求路由傳送至該處。它將會繼續輪詢,以便偵測該應用裝置何時恢復可用狀態。
Unified Access Gateway 可置於「靜止」模式,且其後就不會再以 "HTTP/1.1 200 OK"
回應來回應負載平衡器健全狀況監控要求。此時它會以 "HTTP/1.1 503"
回應,指出 Unified Access Gateway 服務暫時無法使用。此設定通常在 Unified Access Gateway 應用裝置排定的維護、計劃的重新設定或計劃的升級之前使用。在此模式下,負載平衡器不會將新的工作階段導向至此應用裝置,因為此應用裝置會標示為無法使用,但可允許現有的工作階段繼續執行,直到使用者中斷連線或達到工作階段時間上限為止。因此,此作業並不會中斷現有的使用者工作階段。在經過整體工作階段計時器上限後 (通常為 10 小時),應用裝置將可供維護。此功能可在策略中用來執行一組 Unified Access Gateway 應用裝置的輪流升級,讓使用者擁有不停機的服務。