11、Horizon UAG网关服务器部署与安全配置实战
1. Horizon UAG网关服务器部署全流程
Horizon UAG(Unified Access Gateway)是VMware专门为Horizon虚拟桌面环境设计的安全访问网关。它就像企业内网和外部用户之间的"智能门卫",负责验证身份、过滤流量,确保远程访问既方便又安全。下面我会用最直白的语言,带你走完从零部署的全过程。
1.1 前期准备工作
部署UAG之前,需要准备好这些"食材":
- OVF模板文件:从VMware官网下载最新版,比如
euc-unified-access-gateway-21.11.1.0-19072784_OVF10.ova - 网络规划表:包括内网IP、外网IP、端口映射关系(建议画个草图)
- 连接服务器信息:至少需要知道内网连接服务器的IP或域名
我建议先在测试环境演练一遍。曾经有个客户直接在生产环境操作,因为DNS解析问题折腾了半天。提前在笔记本上记下这些关键信息能省很多事:
- 内网IP:192.168.230.44
- 外网IP:115.237.109.73
- 端口映射:外网9000→内网443,外网9001→内网8443
1.2 OVF模板导入详解
登录vCenter后,右键集群选择"部署OVF模板"。这里有几个容易踩坑的地方:
- 网卡数量选择:单网卡简单但可能有性能瓶颈,双网卡更安全但需要配置路由。中小型企业选单网卡就够了
- 磁盘格式:务必选"精简置备",能动态分配空间。有次我手滑选了"厚置备",结果200GB空间瞬间被占满
- 网络配置:建议先用静态IP,等调试完成再考虑DHCP
导入完成后别急着开机,先检查虚拟机设置里的内存(至少8GB)和CPU(至少4核)。有次性能问题排查半天,最后发现是资源分配不足。
2. 初始化配置实操指南
2.1 首次登录配置页面
通过浏览器访问https://[UAG_IP]:9443时,大概率会遇到证书警告。别慌,这是正常现象。点击"高级"→"继续前往"即可。我见过有人在这个环节反复重装系统,其实完全没必要。
进入配置页面后:
- 选择"手动配置"(自动配置适合大规模部署)
- 启用Edge服务(相当于打开网关的"总开关")
- 重点来了——Horizon设置里的连接服务器地址
2.2 指纹验证的玄机
这里有个特别容易出错的地方——指纹验证。点击"不安全"→"证书无效",找到SHA256指纹复制下来。格式必须是这样的:
sha256=83:4F:C6:D8:07:1A:4E:92:E4:AE:85:B8:75:F8:32:A3:96:F1:F6:73:3D:14:F5:65:2D:D5:8E:3D:AF:50:F2:52如果遇到服务显示红色,90%的情况是:
- 指纹复制时多了空格
- 连接服务器地址用了域名但DNS解析失败(这时改用IP试试)
- 防火墙端口没开(检查443和8443)
查看日志的命令特别实用:
tail -f /opt/vmware/gateway/logs/esmanager-std-out.log3. 安全加固关键步骤
3.1 连接服务器配置文件修改
这个步骤很多文档都讲得模糊,其实就两步:
- 在连接服务器创建
C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties文件 - 写入以下内容(注意等号两边不要空格):
checkOrigin=false enableCORS=false然后重启"VMware Horizon View安全网关组件服务"。这里有个小技巧:先用记事本写好内容,保存时选择"所有文件"类型,避免生成.txt后缀。
3.2 UAG系统级安全设置
在UAG的"系统配置"页面,建议调整这些参数:
- 密码期限:设为90天(太短用户抱怨,太长不安全)
- NTP服务器:配置内网时间服务器,时间不同步会导致证书验证失败
- 监控用户:创建专用监控账号,不要用admin
曾经有个案例,因为时间偏差3分钟,所有用户都无法登录。配置NTP后问题立即解决。
4. 注册与连通性测试
4.1 在连接服务器注册UAG
在Horizon控制台的"网关"页面注册时,注意:
- 主机名要用FQDN格式(如uag01.company.com)
- 注册完成后,一定要到连接服务器属性里取消所有勾选(这是为了强制走UAG通道)
测试时遇到过这种情况:注册成功但连接失败。后来发现是连接服务器防火墙挡住了UAG的IP。加条白名单规则就解决了。
4.2 内外网测试技巧
分两个阶段测试:
- 内网测试:用另一台内网电脑通过UAG的IP访问,排除网络因素
- 外网测试:通过手机热点连接,模拟真实环境
建议测试这两种方式:
- Horizon Client直连(测试基础功能)
- Web浏览器访问(测试HTML5适配)
有个实用技巧:在UAG服务器上运行ping和telnet命令,先确认到连接服务器的网络可达性:
ping 192.168.230.44 telnet 192.168.230.44 443如果遇到连接问题,先检查这些:
- UAG服务状态(全部要是绿色)
- 防火墙规则(特别是NAT转换是否正确)
- 证书有效期(过期的证书会导致各种奇怪错误)
最后提醒:正式上线前,建议用压力测试工具模拟多用户并发访问。我遇到过UAG在20人同时连接时就崩溃的情况,后来调整JVM参数才解决。配置文件的路径在/opt/vmware/gateway/conf/,可以调整内存分配等参数。