Horizon 的主要需求是支援原生 Horizon Client 和 HTML Access Horizon Client,並且能夠對用戶端 XML 控制通訊協定、Horizon HTTPS 安全通道和 Blast/HTTPS WebSockets 通訊協定進行通訊協定處理。
TCP 連接埠 443 上的用戶端 XML、通道和 Blast TCP 通訊協定
Horizon 的主要需求是支援原生 Horizon Client 和 HTML Access Horizon Client,並且能夠對用戶端 XML 控制通訊協定、Horizon HTTPS 安全通道和 Blast/HTTPS WebSockets 通訊協定進行通訊協定處理。
使用 HTTPS TCP 連接埠 443 即可支援這所有的通訊協定,因此不需要允許其他連接埠通過外部防火牆 1 或 DMZ 區域防火牆 2 之間的防火牆,如圖 3-1 所示。
若要透過 TLS 終止和 URL 篩選來支援這一組最少的 Horizon 通訊協定,則應藉由啟用具有以下 Proxy 模式的反向 Proxy Edge 服務,將
UAG 1 設定為 Web 反向 Proxy
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/view-client/(.*)|/)
這會限制 Web 流量,因為它會將允許的 URL 限制在符合所設定的 Proxy 模式的 URL 範圍內。
Unified Access Gateway 上支援的端點符合性檢查提供者是
OPSWAT。
OPSWAT MetaAccess on-demand agent是
OPSWAT 用戶端。如果在
UAG 2 中設定了
OPSWAT MetaAccess on-demand agent,且
UAG 1 從
Horizon Client 收到下載
on-demand agent 的要求,則
UAG 1 必須允許此類要求到達
UAG 2。若要支援此案例,
UAG 1 必須執行
Unified Access Gateway 3.10 或更新版本,並使用以下 Proxy 模式進行設定,其中包括
/gateway/resources/(.*):
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/|/gateway/resources/(.*))
如需 OPSWAT MetaAccess on-demand agent 的資訊,請參閱《部署及設定 VMware Unified Access Gateway》(3.9 版及更新版本)。
若要在部署時使用 PowerShell 來自動設定此項,請在 UAG.INI 檔案中新增以下範例區段:
[WebReverseProxy1] instanceId=Horizon-WRP proxyDestinationUrl=https://192.168.2.101 proxyDestinationUrlThumbprints=sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1 proxyPattern=(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)
如果使用 Unified Access Gateway 管理員 UI,請使用以下設定來新增反向 Proxy Edge 服務。
| 設定 | 值 |
|---|---|
| 啟用反向 Proxy 設定 | 開啟此切換。 |
| 執行個體識別碼 | Horizon-WRP |
| Proxy 目的地 URL | https://192.168.2.101 |
| Proxy 目的地 URL 指紋 | sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1 |
| Proxy 模式 | (/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/) |
備註: 〈Web 反向 Proxy〉一節其餘內容中所述的其他連接埠是選用的,具體取決於這些額外通訊協定的需求。
